从一个不被视为漏洞的微软Defender缺陷驱动到任意Windows内存读取

ANY.LNK

项目地址：https://github.com/ANYLNK/KSLDBYOVDARK

KslD.sys，全称为Kernel Support Library Driver，也见MpKslDrv.sys等文件名，前身可追溯到微软于2008年收购的Komoku Inc所开发的Anti-Rootkit驱动，此后长期作为微软系安全软件反Rootkit组件之一存在。

2021年微软又往此驱动中添加了Intel TDT技术的支持，进一步增加了此驱动的功能复杂度，不久后原本设计为在需要的时候从反恶意软件+反间谍软件定义所在目录（示例：\ProgramData\Microsoft\Windows Defender\Definition Updates\{GUID}\）动态加载的MpKslDrv.sys变成了drivers\wd目录下常驻的KslD.sys。

2026年，微软疑似准备将TDT功能从KslD.sys中拆分出来，从伴随着Defender平台一同发布的单一KslD.sys分成了Drivers目录下包含TDT的版本（326+KB）和drivers\wd目录下不包含TDT的版本（82+KB）。（我曾认为Drivers目录下的驱动是更新Defender留下的备份驱动以便在更新出错时回滚，但后续发现Drivers目录下的KslD.sys版本和系统自带未更新的Defender驱动版本（4.18.1907.X）以及拆分前最后一个反恶意软件平台版本（4.18.25080.5）均不同）

  

↑图1为最后一个随反恶意软件平台发布的带有TDT支持的KSLD版本号，图2、3为Drivers目录下的KSLD，二者版本号不同，且后者最后一次目录证书更新于2026年2月，表明微软似乎并不是准备将TDT功能从系统中彻底移除（？）

2026年3月，Drivers目录下的KSLD.sys被发现存在校验缺陷（https://github.com/andreisss/KslDump、https://github.com/S1lkys/KslKatz），暴露IOCTL 0x222044 和其内的SubCmd 2 12于用户环境，允许拥有管理员权限的用户进行任意内存读取，可从受保护的进程中获取敏感数据。



原项目通过修改现有的Ksld服务的配置（不受自我保护保护）替换加载带有漏洞的版本进行回滚攻击，并Dump lsass。但作为ARK驱动，KSLD.SYS允许其在任何目录以任何文件名任何服务名任何设备名加载，还可多驱动（甚至是多版本驱动）共存，这有助于避免ARK驱动被Rootkit等恶意软件的拦截（如设备名占坑等），同时也为基于敏感设备名创建检测的安全措施提出了挑战。





↑MpKsl20230629为存在缺陷的驱动，和新版本Defender已经修复此缺陷的Ksld.sys共存。

KslKatz项目中已经证实了此驱动存在的高可移植性，可以从Win7到Win11的系统上加载。
而本项目通过使用完全自定义的配置加载驱动，避免了修改原有KSLD的配置，进一步降低了与系统原有KSLD的冲突，加强了其作为BYOVD的能力，同时保证了从PPL进程中Dump内存的能力。









本项目扩展了原项目的内存信息获取和读取能力，理论上可以保存任意内存块。

理论上此项目还可进一步扩展，以完发掘其任意内存读取的潜力。

由于加载驱动/修改配置和打开KSLD的设备需要管理员权限，所以微软目前认为其不构成安全漏洞的标准。

只在最新版本的Win11和Win10上做了测试

PS：其他发现

多个类DriverEntry的结构：


代码风格的差异，对比ARK DeviceName的配置代码，IntelTDT的DeviceName是硬编码的，并且在调用同样的函数时前者使用了导入的函数而后者使用的是动态解析（看着确实像是两拨不同的人开发的）



感谢@驭龙 提供的部分发现

驭龙

表明微软似乎并不是准备将TDT功能从系统中彻底移除

微软已经明确表示TDT已经弃用，并不是不准备放弃TDT噢


我是来支持的，精品文章

ANY.LNK

驭龙 发表于 2026-4-12 22:48
微软已经明确表示TDT已经弃用，并不是不准备放弃TDT噢

也许只是不在Set-MpPreference里了呢？或者准备同Defender拆分开了（幻想）
外加还有一个发现：Program files和Programfiles x86目录下的Defender也是会更新的，目前更新到了4.18.25080.5。而这个时间戳是和Drivers目录下的KSLD.sys是一致的

驭龙

ANY.LNK 发表于 2026-4-12 23:36
也许只是不在Set-MpPreference里了呢？或者准备同Defender拆分开了（幻想）

据我所知，MD在搞事情，但不清楚是只给AI平台的还是给X86，目前X86平台无法启用相关文件

另外官方已经删除TDT的知识库介绍，不存在了，官方不可能重启TDT，因为有新的加速功能，只是不确定X86会不会有

ANY.LNK

驭龙 发表于 2026-4-12 23:41
据我所知，MD在搞事情，但不清楚是只给AI平台的还是给X86，目前X86平台无法启用相关文件

另外官方已经 ...

外加Program files目录下的Defender也更新了，时间戳是和drivers目录下的WD驱动一样的


原来这个也是会更新的

以及这里的文档还没删

驭龙

ANY.LNK 发表于 2026-4-12 23:50
外加Program files目录下的Defender也更新了，时间戳是和drivers目录下的WD驱动一样的

这个是跟镜像包重新封装有关系，所以微软周期性通过补丁更新，正因为系统内置的MD更新到25080，drivers位置的KSLD才会变成相同版本，替换掉系统安装镜像内置的MD版本
并不是没有删除，现在目录中已经没有TDT的指向链接，如果不是以前收藏的地址，现在是找不到的

ANY.LNK

驭龙 发表于 2026-4-12 23:59
这个是跟镜像包重新封装有关系，所以微软周期性通过补丁更新，正因为系统内置的MD更新到25080，drivers位 ...

确实，applies to的那一栏自2024年起就越删越少了

2024年还包括MDE MDXDR MDB MDAV MD个人，到2025年就只剩下MDAV和MD个人了，到现在就删的一条不剩了，只有这条字符串了

The features described in this article are currently in Preview, aren't available in all organizations, and are subject to change.

驭龙

ANY.LNK 发表于 2026-4-13 00:09
确实，applies to的那一栏自2024年起就越删越少了

2024年还包括MDE MDXDR MDB MDAV MD个人，到2025年 ...

就看新功能是给AI设备独享还是X86也有吧，如果X86也有的话，就完全不需要TDT的加速了，但目前首测版本，我安装以后，X86平台上并没有安装相关的新文件，这就比较难受了