Co tu dużo pisać, błąd jest trywialny, tak jak jego wykorzystanie. Jeśli użytkownik korzysta ze zwykłego konta to standardowo nie może wykonać pewnych czynności, jak tworzenie plików, ładowanie sterowników czy zabijanie obcych procesów. Zakładając, że przetestowane oprogramowanie posiadało możliwość blokowania ładowania sterowników a tym samym wykorzystywania różnych podejrzanych usług (PhysicalMemory, SystemDebugControl, LoadAndCallImage, ...) to i tak istnieje kilka metod nie blokowanych przez to oprogramowanie. Po co zatem próbować podmieniać parametr przekazywany np. do NtLoadDriver, który naturalnie powinien zostać skopiowany na stos a nie jest, skoro można wykorzystać którąś z nowych metod w celu całkowitego unieszkodliwienia tego oprogramowania?
swap