SeEtwWriteKMCveEvent 함수(wdm.h)
SeEtwWriteKMCveEvent 함수는 커널 모드 드라이버에서 보안 취약성 악용 시도가 감지될 때 이벤트를 게시하기 위한 추적 함수입니다.
구문
NTSTATUS SeEtwWriteKMCveEvent(
[in] PCUNICODE_STRING CveId,
[in, optional] PCUNICODE_STRING AdditionalDetails
);
매개 변수
[in] CveId
이 이벤트가 발생하는 취약성과 연결된 CVE ID를 언급하는 문자열에 대한 포인터입니다. 자세한 내용은 새 CVE ID 구문 처리를 위한 기술 지침을 참조하세요.
[in, optional] AdditionalDetails
이벤트 생산자가 이 이벤트의 소비자에게 제공할 수 있는 추가 세부 정보를 제공하는 문자열에 대한 포인터입니다.
반환 값
SeEtwWriteKMCveEvent 는 다음 값 중 하나를 반환합니다.
| 반환 코드 | 설명 |
|---|---|
| STATUS_SUCCESS | 드라이버가 성공적으로 게시되었습니다. |
| ERROR_INVALID_PARAMETER | 전달된 CVE ID에 대한 포인터가 잘못되었습니다. 이벤트는 여러 가지 이유로 손실될 수 있습니다. 예를 들어 이벤트 속도가 너무 높거나 이벤트 크기가 버퍼 크기보다 큰 경우입니다. 이러한 경우 해당 로거에 대한 EVENT_TRACE_PROPERTIES 구조의 멤버인 EventsLost 카운터가 기록되지 않은 이벤트 수로 업데이트됩니다. |
설명
SeEtwWriteKMCveEvent 함수는 CVE 기반 이벤트를 게시합니다. 이 함수는 애플리케이션에서 알려진 패치된 취약성을 악용하려는 시도가 검색되는 시나리오에서만 호출되어야 합니다. 이상적으로 이 함수 호출은 수정(업데이트) 자체의 일부로 추가되어야 합니다. 이 이벤트의 기본 소비자는 EventLog-System입니다. 다른 소비자를 사용하도록 설정하기 위해 공급자를 소비자 세션에 추가할 수 있습니다.
공급자 GUID: 85a62a0d-7e17-485f-9d4f-749a287193a6
원본 이름: Microsoft-Windows-Audit-CVE 또는 CVE-Audit
예제
NTStatus status;
UNICODE_STRING CVEID;
UNICODE_STRING EventDetails;
…
RtlInitUnicodeString(&CVEID, L"CVE-2015-0000");
RtlInitUnicodeString(&EventDetails, L"Vulnerable request with data is logged in %temp%\abc.log");
status = SeEtwWriteKMCveEvent( &CVEID, &EventDetails);
요구 사항
| 요구 사항 | 값 |
|---|---|
| 지원되는 최소 클라이언트 | Windows 10 이상 버전의 Windows에서 사용 가능 |
| 대상 플랫폼 | Windows |
| 헤더 | wdm.h |
| 라이브러리 | Ntoskrnl.lib |
| DLL | Ntoskrnl.exe |
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기