» 游客:  注册 | 登录 | 帮助  微点交流论坛 » 主动防御 » 【hovidelphic】对微点自我保护的一些测试 结束微点进程   作者: 标题: 【hovidelphic】对微点自我保护的一些测试 结束微点进程 点饭的百度空间 银牌会员 积分 2315 发帖 2236 注册 2007-11-30 #1  【hovidelphic】对微点自我保护的一些测试 结束微点进程 【0DAY】微点(1.2.10581.0108)的三个严重危胁自身安全的漏洞 2009-07-18 15:35　　 　　第一，可以用NtDuplicateObject取到微点进程的句柄； 　　第二，可以取到微点窗体的句柄； 　　第三，被信任的程序可以用很常规的方法干掉微点的进程 【0DAY】利用微点“信任程序”漏洞在开主防无提示的情况下秒杀微点进程 2009-07-18 16:10　　 　　我在上篇文章中提到，微点允许它信任的程序结束自己的进程，由于有这个脑残的设计，加以适当的利用，就可以秒杀微点了。 　　首先启动一个傀儡进程(svchost.exe)，然后以进程注入的方式启动自己的进程(R3Kill.exe)。很奇怪的是，这一步要用到NtSetContextThread这个极端危险的函数，微点竟然一声不吭地放行了！ 　　打开微点的进程管理器，看到的是 svchost.exe 而非 R3Kill.exe ，这时我就心想，微点完蛋了。 　　果然不出所料，把四个微点进程的PID一同输入并点击“结束进程”，微点的进程全部结束。 　　我在“Ring3结束进程”使用了六种方法，我并不知道具体是哪种方法杀了微点。但我估计是“创建远程线程”这种猥琐方法。 　　给我们的警示：首先，一定要严加照顾 NtDuplicateObject 和 NtSetContextThread 这个两个函数；其次，绝对不能信任任何程序！ [0DAY]微点进程被结束的后果 2009-07-18 21:32　　 可以直接删除其目录下的文件。 有测试提出问题 总是好的 先发出来大家先看看再说吧 [ Last edited by 点饭的百度空间 on 2009-7-19 at 00:06 ] ※ ※ ※ 本文纯属【点饭的百度空间】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 你的微笑 is 微点的骄傲！ http://hi.baidu.com/new/micropoint 2009-7-19 00:02 zgtp 银牌会员 积分 1435 发帖 1389 注册 2009-3-2 #2   你真的厉害呀，，， ※ ※ ※ 本文纯属【zgtp】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 东方微点→【走自己的路 用实力说话】 看帖回帖是微点会员的美德。 2009-7-19 08:05 yeniu 新手上路 积分 23 发帖 23 注册 2009-7-10 #3   不要给病毒太多的可趁之机 ※ ※ ※ 本文纯属【yeniu】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2009-7-19 13:34 lsj301 银牌会员 积分 1388 发帖 1382 注册 2009-3-16 来自 甘肃兰州 #4   不要授人以柄. ※ ※ ※ 本文纯属【lsj301】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 我们一直在默默支持微点! 2009-7-19 15:59 论坛跳转: 微点软件公测区 安全快报  > 病毒快报  > 漏洞快报 微点产品在线技术支持  > 微点主动防御软件  > 预升级反馈专区  > 微点杀毒软件 微点用户交流区  > 微点新闻  > 微点软件使用交流  > 微点茶室 安全技术交流区  > 主动防御  > 反病毒  > 防火墙 综合区  > 电脑&数码  > 体育&娱乐&休闲  > 灌水区 版务管理 内部使用专区  可打印版本 | 推荐 | 订阅 | 收藏 [ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司 闽ICP备05030815号