SeEtwWriteKMCveEvent 関数 (wdm.h)
SeEtwWriteKMCveEvent 関数は、カーネル モード ドライバーでセキュリティ脆弱性の悪用が試行された場合にイベントを発行するためのトレース関数です。
構文
NTSTATUS SeEtwWriteKMCveEvent(
[in] PCUNICODE_STRING CveId,
[in, optional] PCUNICODE_STRING AdditionalDetails
);
パラメーター
[in] CveId
このイベントが発生している脆弱性に関連付けられている CVE-ID を示す文字列へのポインター。 詳細については、「 新しい CVE ID 構文の処理に関するテクニカル ガイダンス」を参照してください。
[in, optional] AdditionalDetails
イベント プロデューサーがこのイベントのコンシューマーに提供する可能性がある追加の詳細を提供する文字列へのポインター。
戻り値
SeEtwWriteKMCveEvent は 、次のいずれかの値を返します。
リターン コード | 説明 |
---|---|
STATUS_SUCCESS | ドライバーが正常に発行されました |
ERROR_INVALID_PARAMETER | CVE-ID への無効なポインターが渡されました。 イベントは、いくつかの理由で失われる可能性があります。たとえば、イベント レートが高すぎる場合や、イベント サイズがバッファー サイズより大きい場合などです。 このような場合、対応するロガーのEVENT_TRACE_PROPERTIES構造体のメンバーである EventsLost カウンターは、記録されなかったイベントの数で更新されます。 |
注釈
SeEtwWriteKMCveEvent 関数は CVE ベースのイベントを発行します。 この関数は、既知のパッチが適用された脆弱性を悪用しようとする試みがアプリケーションによって検出されたシナリオでのみ呼び出す必要があります。 理想的には、この関数呼び出しは修正 (更新) 自体の一部として追加する必要があります。 このイベントの既定のコンシューマーは EventLog-System です。 別のコンシューマーを有効にするには、プロバイダーをコンシューマー セッションに追加できます。
プロバイダー GUID: 85a62a0d-7e17-485f-9d4f-749a287193a6
ソース名: Microsoft-Windows-Audit-CVE または CVE-Audit
例
NTStatus status;
UNICODE_STRING CVEID;
UNICODE_STRING EventDetails;
…
RtlInitUnicodeString(&CVEID, L"CVE-2015-0000");
RtlInitUnicodeString(&EventDetails, L"Vulnerable request with data is logged in %temp%\abc.log");
status = SeEtwWriteKMCveEvent( &CVEID, &EventDetails);
要件
要件 | 値 |
---|---|
サポートされている最小のクライアント | Windows 10 以降のバージョンの Windows で使用できます |
対象プラットフォーム | Windows |
ヘッダー | wdm.h |
Library | Ntoskrnl.lib |
[DLL] | Ntoskrnl.exe |