点饭的百度空间
银牌会员
积分 2315
发帖 2236
注册 2007-11-30
|
#1 新的加载驱动方法 过所有主防!微点不报 作者:langouster
端午小放血一下,一种新的加载驱动方法,应该属于0day。为了网民考虑,我不会公开全部技术,但如果有心,根据这些要点肯定可以研究出这个技术。
加载步骤:
1。编写一驱动,不用关sfc,直接复制替换系统目录下的某文件。
2。调用某API函数,此函数不是由ntdll,kernel32,user32这些DLL导出的,是可以在MSDN里查到的,为便于说明我叫它func1,如果不出意外驱动就已经加载了。
伪代码只有两行:
CopyFile("aaa.sys",'c:\\windows\\system32\XXXX.XXX',false);
func1(...);
特别注意:加载的驱动不能用一般的驱动,一般的驱动的入口点是
NTSTATUS DriverEntry( IN PDRIVER_OBJECT DriverObject, IN PUNICODE_STRING RegistryPath );
而这个驱动的入口点函数应该写成
NTSTATUS DriverEntry(LPVOID a,LPVOID b,LPVOID c)//注意,它没有PDRIVER_OBJECT
说明:
1。我大概测试了下以下杀软,没有一个报的
xp vista win7
瑞星+360 不报
超级巡警 不报
kis7 不报
微点 不报
卡巴2009 加载驱动不报,替换文件报(xyzreg帮助测试)
2。只要能替换system32目录下的那个文件,调用那个func1函数是没有权限要求的,所以在fat32系统上应该能直接从低权限提升到system权限。(也算是一个提权0day了)
3。好像貌似有办法不用自己调用func1函数,可以在替换文件后让csrss进程去加载这个驱动,也就是说杀软如果报了,也不会报你的程序。。。。。但我还没有完全研究出来,此条不一定正确。
4。发现此0day时间不长,工作又太忙,还没仔细研究,以上说明中可能有些不妥的地方,望谅解。
[ Last edited by 点饭的百度空间 on 2009-6-1 at 00:06 ]
| |
※ ※ ※ 本文纯属【点饭的百度空间】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
你的微笑 is 微点的骄傲!
http://hi.baidu.com/new/micropoint |
|
|
2009-5-29 00:36 |
|
mamsds
银牌会员
积分 1373
发帖 1360
注册 2008-3-15
来自 乌克兰
|
#2
可是,加载驱动,微点本来就不报呀
| |
※ ※ ※ 本文纯属【mamsds】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
Vi Veri Veniversum Vivus Vici. |
|
|
|
2009-5-29 10:51 |
|
HomeSGerMine
银牌会员
■■微点护卫队队长■■
积分 4888
发帖 4785
注册 2009-3-8
来自 哪里有微点,哪里就有我
|
#3
| Quote: | Originally posted by mamsds at 2009-5-29 10:51:
可是,加载驱动,微点本来就不报呀 |
|
对啊,这个动作并不能构成一个有意义的行为,微点是不会拦截的
| |
※ ※ ※ 本文纯属【HomeSGerMine】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
东方之荣耀, 中华之微点!---Microp●int
|
|
|
|
2009-5-29 18:57 |
|
wsmurderer
高级用户
积分 676
发帖 668
注册 2008-11-21
|
#4
加驱不报很危险,测试的时候经常发现蓝屏,就是因为病毒加驱和微点硬干
| |
※ ※ ※ 本文纯属【wsmurderer】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2009-5-29 22:30 |
|
mamsds
银牌会员
积分 1373
发帖 1360
注册 2008-3-15
来自 乌克兰
|
#5
| Quote: | Originally posted by wsmurderer at 2009-5-29 22:30:
加驱不报很危险,测试的时候经常发现蓝屏,就是因为病毒加驱和微点硬干 |
|
如果病毒的目的只是破坏电脑,那么完全可以这样
#include<stdio.h>
#include<stdlib.h>
int mian()
{
system("del c:\boot.ini /f/a/q");
system("shutdown -s -t 15 ")
printf("成功过微点,你电脑已被破坏!哈哈!");
sleep(10000);
}
...................................
| |
※ ※ ※ 本文纯属【mamsds】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
Vi Veri Veniversum Vivus Vici. |
|
|
|
2009-5-29 23:25 |
|
BEEEE
新手上路
积分 12
发帖 12
注册 2009-5-25
|
#6
又是什么?
| |
※ ※ ※ 本文纯属【BEEEE】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2009-5-30 09:44 |
|
lsj301
银牌会员
积分 1388
发帖 1382
注册 2009-3-16
来自 甘肃兰州
|
#7
我是一只小小小菜鸟
| |
※ ※ ※ 本文纯属【lsj301】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
我们一直在默默支持微点! |
|
|
|
2009-5-31 18:38 |
|
点饭的百度空间
银牌会员
积分 2315
发帖 2236
注册 2007-11-30
|
#8 难倒微点了 回超版没有样本
MJ0011
ATMFD.dll确实是3个参数的entry,但是FUNC1是什么呢
打印机的那个XX可以直接加载驱动,没必要覆盖文件啊
sysnap
还是有说的..呵呵 NTSTATUS DriverEntry(LPVOID a,LPVOID b,LPVOID c)//注意,它没有PDRIVER_OBJECT
还是很难猜....我来推断一下...
1 不用关sfc,直接复制替换系统目录下的某文件。
那应该不是dllcache里的文件....
2 CopyFile("aaa.sys",'c:\\windows\\system32\XXXX.XXX',false);
那应该是SYSTEM32下的文件///....XXXX.XXX' 代表可能是.DLL结尾的...
3而这个驱动的入口点函数应该写成
NTSTATUS DriverEntry(LPVOID a,LPVOID b,LPVOID c)//注意,它没有PDRIVER_OBJECT
晕...这个我没见过...不过没有PDRIVER_OBJECT
我猜替换的文件是...kdcom.dll
上面纯XXXX..,,,没见过DriverEntry(LPVOID a,LPVOID b,LPVOID c)不好说啊...
Azy
int __stdcall WdStartWatch() ???
如果是watchdog,那么和替换kmixer有点类似
uvbs412
system32 下面 驱动DLL , 而且平常不加载的DLL 就这么多
atmfd.dll
bootvid.dll
framebuf.dll
kd1394.dll
kdcom.dll
mcdsrv32.dll
mnmdd.dll
modex.dll
rdpdd.dll
tsddd.dll
vga256.dll
vga64k.dll
wowfax.dll
我看这个有可能 wowfax.dll
killvxk
莫非是kd1394.dll
wowfax.dll确实可以XX加载~
xyzreg
作者是我好友,大学同班同学。技术很不错,现在在某知名公司从事反木马反外挂工作。
这个虽然算不上提权0day,但是也算一种新的加载驱动的方法,可以过所有主防。
| |
※ ※ ※ 本文纯属【点饭的百度空间】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
你的微笑 is 微点的骄傲!
http://hi.baidu.com/new/micropoint |
|
|
|
2009-6-1 00:04 |
|
