Windows IOCTL Census: 드라이버 제어 코드 표면(Control-Code Surface)에 대한 코퍼스 규모의 멀티 아키텍처

Windows 드라이버는 I/O 제어 (IOCTL) 코드를 통해 커널을 노출하며, 단 하나의 버퍼 길이 미검증(unchecked length)만으로도 권한이 없는 호출이 커널 쓰기(kernel write)로 이어질 수 있습니다. 연구 커뮤니티는 이러한 표면(surface)을 탐지하기 위한 강력한 스캐너와 알려진 악성 드라이버 목록을 보유하고 있지만, 표면 자체에 대한 지도는 가지고 있지 않습니다. 우리는 그 지도를 구축합니다. Windows IOCTL Census는 심볼릭 실행 (symbolic execution) 없이 결정론적이고 아키텍처 중립적인 단 한 번의 패스로 복구된 27,087개의 서명된 Windows 드라이버의 제어 코드 디스패치 표면 (control-code dispatch surface)에 대한 쿼리 가능한 데이터베이스입니다. 심볼릭 엔진 (symbolic engine)을 실행하는 대신 리프팅된 중간 표현 (lifted intermediate representation)을 읽음으로써, 기존 스캐너가 중단되는 32비트 영역을 포함하여 x86 및 x64 전반에 걸쳐 코퍼스(corpus)의 80%에 대한 디스패치 표면을 복구할 수 있었습니다. 64비트 경로에서는 핸들러 도달 가능성 (handler reachability), 오염 (taint), 그리고 호출 그래프 (call graph)를 추가합니다. LLM은 분류 (triage)를 위해 도달 가능한 핸들러의 순위를 매깁니다. 우리는 수천만 행으로 구성된 공개 데이터셋으로 이 센서스를 공개합니다: 27,087개의 바이너리, 310만 개의 디코딩된 제어 코드, 818만 개의 함수, 그리고 1,595만 개의 호출 엣지 (call edges)를 포함합니다.