VSS-FR2시스템

Windows에서 임의의 파일 읽기 버그를 SYSTEM 셸로 바꾸는 두 가지 작은 도구입니다.

• 'vss_freeze/' — 표준 사용자로 볼륨 섀도우 복사본을 생성한 후, SAM/보안/시스템 하이브를 읽을 시간을 벌 수 있도록 열어둡니다
• 'fr2system/' — 복사한 하이브를 가져가고, 로컬 NTLM 해시를 오프라인에서 복호화하며, SYSTEM 셸을 팝팝

SYSTEM으로 실행되는 Arb-file read 원시 함수(또는 '\?\GLOBALROOT\Device\HarddiskVolumeShadowCopyN...'에서 읽을 수 있는 모든 것)과 함께, 기본 Win10/Win11 박스에서 완전한 표준 사용자 → SYSTEM 체인이 됩니다.

---

배경

이 내용은 BlueHammer에서 추출한 것으로, Win Defender 남용 연구에서 EICAR 파일을 감시 경로 아래에 드롭하면 Defender가 복구 흐름의 일부로 볼륨 섀도우 복사본을 생성한다는 사실을 발견했습니다. 우리는 디펜더의 로드 경로에 'RstrtMgr.dll' 배치 접근을 진행해 디펜더가 복구 시작 시 주차 상태를 유지하도록 했고, 그 결과 VSS가 필요한 만큼 계속 유지됩니다.

원래는 2단계 cldflt 동결이 있었지만, cldflt는 Win11 24H2에서 비원드라이브 동기화 제공자를 거부합니다('CfRegisterSyncRoot'가 '0x80070057'를 반환합니다). 1단계 오프락을 계속 열어두는 것만으로도 충분했습니다 — 디펜더는 일시정지 상태, VSS는 살아남고, 클라우드 파일 API는 전혀 없습니다.

---

체인

진짜 LPE (이미 arb 파일을 읽었어요)

1. 일반 사용자로서 'vss_simple_freeze.exe --홀드 120'을 실행합니다. VSS 경로를 출력합니다. 예를 들어 '\Device\HarddiskVolumeShado'

---

🌐 본 텍스트는 빠른 이해를 돕기 위한 요약 번역본입니다. 정확한 기술 정보 및 전체 코드는 GitHub 원문에서 확인하실 수 있습니다.