背景因为之前装了某绒，某绒又有一个比较好用的ark工具某绒🗡，想着应该有机会利用一下它的驱动。接着在driver下面找到了它的驱动，简单分析了一下，发现有可以利用的ioctl。这里有duphandle，操作和之前的procexp利用一样复制system的物理内存句柄就行了。 问题好歹是安全公司写的代码怎么可能没有校验呢，直接打开\\\\.\\Sysxxxx::SysUtils返回失败。接着继续看一看是哪里返回的失败，动态调试之后发现是这里返回的失败，其中sub_FFFFF807117C9060函数通过pid返回的是它自己记录的进程的相关结构体，+0x538标志的是当前进程有没有操作驱动的权限，