南海饿神岳老三
新手上路
积分 5
发帖 5
注册 2008-7-22
|
#1 蓝屏不下十次,气愤!
我用的是微点家庭版,截止目前已经使用了两个多月,之前用的是试用版。用试用版的时候几乎没有出现过蓝屏,安装家庭版之后问题不断,总是蓝屏。
我也按照你们说的方法保存蓝屏文件并发送到你们的FTP服务器或者是用QQ发送给在线客服。每次的处理结果都是你们发送测试版本让我使用。可是使用一段时间后又蓝屏了!
因为我用的是校园网,网速很低,上传下载的封顶值是70k/s。所以我是很不情愿每次都把蓝屏文件发送给你们,因为发送是过程中我不能上网,否则就会影响发送速度,每次发送都需要两三个小时。这个时间实在不能说不长。
后来我从网上下载了WinDbg,用它分析每次的蓝屏文件,结果大多数都是Probably caused by : mp110013.sys ( mp110013+37ac )
很明显这是微点引起的蓝屏。
今天我觉得电脑上的微点版本过低(是你们发送我的测试版本,当时的更新时间是2008年9月8号,按照你们的要求我设置了手动升级,所以一直没有升级),于是在关闭其它所有大型程序只保留QQ的情况下我升级到最新版本,结果刚提示升级成功就蓝屏了。重启之后用WinDbg分析蓝屏文件,结果依然是robably caused by : mp110013.sys ( mp110013+37ac )。目前的版本还是9月8号的那个,可见刚才升级失败。无奈,我又联系你们的在线客服,发送蓝屏文件,接下里的两三个小时我又不能上网了!
请问你们公司的微点家庭版怎么这样喜欢蓝屏?我室友用的试用版,从来没有蓝屏过。他笑我说是花钱买蓝屏。
附上一篇微点bug引起的蓝屏文章,蓝屏状况和我的基本一样,希望你们加紧改进!
微点主动防御(version20080924及以下)多个拒绝服务漏洞及内核BUG
http://www.hacker.com.cn/article/view_14731.html
微点主动防御(version20080924及以下)多个拒绝服务漏洞及内核BUG
国庆无聊在家,下了一个0924版的微点,从它的HOOK一个个看起,看了4个就发现两个有问题~~再看看,发现有问题的函数几乎是一半对一半~ 多达十几处。还只是简单看看地结果~太挫了
现在说一说其中两个~微点赶紧改吧:D
(1),驱动对ZwOpenEvent的HOOK存在拒绝服务安全漏洞,任何权限用户可以使安装了微点的系统蓝屏
问题在于微点的Hook驱动mp110013.sys对用户态调用ZwOpenEvent传入参数检查不充分导致的
mp110013.sys(版本1.2.10126.0, CheckSum = 0x0000FDB7 , TimeStamp = 0x4859C30E)
偏移0XBAE处实际是其对ZwOpenEvent的HOOK实际处理部分(首先经过一个HOOK引擎mp110003.sys转发)。
ZwOpenEvent的原型是:
NTSTATUS
ZwOpenEvent(
OUT PHANDLE EventHandle,
IN ACCESS_MASK DesiredAccess,
IN POBJECT_ATTRIBUTES ObjectAttributes
);
微点只对ObjectAttributes做了ProbeForRead检查,没有对该结构内部成员的缓存地址做有效检查,就直接使用系统函数RtlUnicodeStringToAnsiString将该结构的 ObjectAttributes->ObjectName转换为ANSI字符,因此只要RING3的程序对该域填充错误地址,就可以引发系统访问无效内存蓝屏
由于该函数的Hook函数中使用了结构化异常处理,因此传0之类的地址是无法引发蓝屏的,但只要传入任何一个无效的内核地址(例如0x80000000),就可以使微点蓝屏
下面是引发蓝屏的测试代码:
HMODULE hlib = LoadLibrary("ntdll.dll");
PVOID p = GetProcAddress(hlib , "ZwOpenEvent");
OBJECT_ATTRIBUTES oba ;
oba.ObjectName = (PUNICODE_STRING)0x80000000 ;
__asm{
lea eax ,oba
push eax
push 0
push 0
call p
}
运行了这段代码后,系统即蓝屏重启,适用于任何安装了微点的系统任何用户权限。
我编写了一个测试程序"BSOD_MP.exe",在装有20080924及以下版本的微点的系统,运行程序后点"done",系统即会蓝屏。
测试程序下载http://mj0011.ys168.com 漏洞演示目录下BSOD_mp.rar
(2).驱动对ZwOpenThread的HOOK处理存在漏洞,可能导致系统其他组件工作不正常
在同样版本的mp110013.sys中,对于ZwOpenThread的处理存在BUG,可能导致任意调用该函数的其他驱动程序或系统组件失败!
在对ZwOpenThread的HOOK中,微点的驱动没有判断系统上个模式,而是直接使用 ProbeForRead函数去校验ZwOpenThread的参数: ObjectAttributes,这样做的结果会导致在驱动中使用该函数的驱动,只要使用了这个参数,调用这个函数就会返回失败。 STATUS_ACCESS_DEIND
正确的做法应该是先判断当前线程的前个模式,如果是UserMode,再做有效性校验。
这个函数在驱动中用得不多,但也不是没有,属于微软有文档的函数,例如在Sandboxie的驱动中就有用到这个,如果这个函数失败,沙箱内的进程在执行某些操作的时候,就可能出错,甚至导致系统崩溃。
====================================================
综上来看,微点的驱动开发者对如何校验用户态参数还是有一些概念的,可惜的是,不仅理解不深,而且还会出现一些粗心大意的毛病~象SSDT HOOK这样直面用户态程序的驱动代码,还是要慎之慎之~~
另外这也暴露出,微点的测试流程不够专业,驱动测试不够重视,如果发布前使用BSODHook等Driver Test工具跑一跑,就不会出现如(1)中那样弱智的错误了~
| |
※ ※ ※ 本文纯属【南海饿神岳老三】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
 |
|
2008-10-21 10:32 |
|
Legend
超级版主
超级版主
积分 77171
发帖 70170
注册 2005-10-29
|
#2
感谢楼主一直以来积极的反馈,您上述的“微点主动防御(version20080924及以下)多个拒绝服务漏洞及内核BUG”,我们最新版本的预升级已经解决了,请您联系我们在线管理员(QQ:466248167或383154254),让他们给您一个最新的安装包重新安装一下。
| |
※文章所有权归【Legend】与【东方微点论坛】共同所有,转载请注明出处!※
|
微点官方认证新浪微博:欢迎进入 微点新浪微博
微点技术支持邮箱: support@micropoint.com.cn
给Legend发短消息 |
|
|
|
2008-10-21 11:00 |
|
ballpointpen
中级用户
积分 436
发帖 434
注册 2006-6-20
|
#3
同情LZ。
就性能而言,家庭版和试用版是一样的,没有差别。
你的操作系统是否是番茄园的XP系列?很久以前,在番茄园的XP系列上安装微点,出现问题相对多一些。
| |
※ ※ ※ 本文纯属【ballpointpen】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2008-10-21 23:00 |
|
yyz219
注册用户
积分 190
发帖 190
注册 2007-10-14
来自 珠海市
|
#4
应该是软件冲突8
| |
※ ※ ※ 本文纯属【yyz219】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
[img]http://mpicture.micropoint.com.cn/getpic.asp?sid=2c54dc1013c5572a1717f76e39248fa7[/img]
|
|
|
|
2008-10-22 07:26 |
|
esking
中级用户
积分 246
发帖 247
注册 2007-2-6
|
#5
文章上都说了是09版本以下的,现在都10月22了
| |
※ ※ ※ 本文纯属【esking】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2008-10-22 22:50 |
|
stht1986
银牌会员
积分 2114
发帖 2108
注册 2008-7-5
|
#6
家庭版和试用版以及单机版都是一样的,没有区别只是授权时间不同用户不同而已
| |
※ ※ ※ 本文纯属【stht1986】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
破解无罪 盗版有理 |
|
|
|
2008-10-23 16:22 |
|
