CFB:Canadian Furious Beaver是一种工具用于劫持Windows驱动程序中的IRP处理程序并简化分析Windows驱动程序漏洞的过程 源码

理念 Furious Beaver是用于捕获发送到任何Windows驱动程序的IRP的分布式工具。 它分为两个部分: “代理”将用户区域代理和自IrpDumper.sys驱动程序( IrpDumper.sys )结合在一起,该驱动程序会将自身安装在目标系统上。 一旦运行,它将公开(取决于编译选项)远程命名管道(可从\\target.ip.address\pipe\cfb )或侦听TCP / 1337的TCP端口。 通过设计使通信协议变得简单(即不安全),允许任何轻松地(通过简单的JSON消息)转储来自同一Broker的驱动程序IRP。 GUI是采用ProcMon风格制作的Windows 1