微点交流论坛 - 主动防御 - 【shineastdh 修改】玩玩微点之二：利用远程线程Ring3杀微点（严重）

» 游客: 注册 | 登录 | 帮助

微点交流论坛 » 主动防御 » 【shineastdh 修改】玩玩微点之二：利用远程线程Ring3杀微点（严重）

点饭的百度空间
银牌会员

积分 2315
发帖 2236
注册 2007-11-30

#1 【shineastdh 修改】玩玩微点之二：利用远程线程Ring3杀微点（严重）

男, 24岁
西安市交通大学张东辉shineastdh

个人简介：
计算机专业，网络安全方向
漏洞挖掘进行到底! 处处留心皆学问!

我的理想就是做中国最好的杀毒软件，现在正在学习微点，虽然微点在技术上有很多问题，但是思想上已经是创新了。另外微点实现这个思想的时候方法、细节还是有点问题，绕过就是很头疼的问题。没办法，搞事业就要不断的遇到问题，能做好技术，解决好问题才是王道！

2008年10月24日星期五上午 11:15

近日一直在测试各大杀软，测试微点的时候发现微点一个严重问题，事实上微点是inline hook NtCreateThread函数的，如下：

kd> u 805c6ad0

nt!NtCreateThread:
805c6ad0 e929714079    jmp    mp110003!f0042+0x642 (f99cdbfe)

805c6ad5 90             nop

805c6ad6 90             nop

805c6ad7 e80416f7ff    call nt!_SEH_prolog (805380e0)

805c6adc 8365fc00       and    dword ptr [ebp-4],0

805c6ae0 64a124010000 mov    eax,dword ptr fs:[00000124h]

805c6ae6 8945e0       mov    dword ptr [ebp-20h],eax

805c6ae9 80b84001000000 cmp    byte ptr [eax+140h],0

另外，结束进程的函数也是被多处inline hook的，如下：

kd> u 805c8694

nt!PspTerminateProcess+0x52:

805c8694 e80f654079    call mp110003!f0045+0xaa8 (f99ceba8)

805c8699 57             push edi

805c869a 56             push esi

805c869b e85e4f0000    call nt!PsGetNextProcessThread (805cd5fe)

805c86a0 8bf8          mov    edi,eax

805c86a2 85ff          test edi,edi

805c86a4 75ea          jne    nt!PspTerminateProcess+0x4e (805c8690)

805c86a6 3986bc000000 cmp    dword ptr [esi+0BCh],eax

kd> u 805c85c8

nt!NtTerminateProcess+0x100:

805c85c8 e8db654079    call mp110003!f0045+0xaa8 (f99ceba8)

805c85cd eb11          jmp    nt!NtTerminateProcess+0x118 (805c85e0)

805c85cf 817d0c04000140 cmp    dword ptr [ebp+0Ch],40010004h

805c85d6 7508          jne    nt!NtTerminateProcess+0x118 (805c85e0)

805c85d8 6a00          push 0

805c85da 53             push ebx

805c85db e8d4010700    call nt!DbgkClearProcessDebugObject (806387b4)

805c85e0 817d0822010000 cmp    dword ptr [ebp+8],122h

kd> u 805c8598

nt!NtTerminateProcess+0xd0:

805c8598 e80b664079    call mp110003!f0045+0xaa8 (f99ceba8)

805c859d 56             push esi

805c859e 53             push ebx

805c859f e85a500000    call nt!PsGetNextProcessThread (805cd5fe)

805c85a4 8bf0          mov    esi,eax

805c85a6 85f6          test esi,esi

805c85a8 75e6          jne    nt!NtTerminateProcess+0xc8 (805c8590)

805c85aa 8b4df4       mov    ecx,dword ptr [ebp-0Ch]

kd> u 805c8512

nt!NtTerminateProcess+0x4a:

805c8512 e8a95f4079    call mp110003!f0045+0x3c0 (f99ce4c0)

805c8517 85c0          test eax,eax

805c8519 8b75f8       mov    esi,dword ptr [ebp-8]

805c851c 8bde          mov    ebx,esi

805c851e 0f8ce8000000 jl    nt!NtTerminateProcess+0x144 (805c860c)

805c8524 8d8648020000 lea    eax,[esi+248h]

805c852a f6400120       test byte ptr [eax+1],20h

805c852e 894508       mov    dword ptr [ebp+8],eax

结束线程的就不罗列了，被hook的惨不忍睹，其实有必要这样么？！感叹。。。

这个问题暂且不说，问题是hook了这么一大堆，还是可以用最基本的方法在Ring3层干掉微点，方法如下：

CreateRemoteThread+ExitProcess

代码如下：

结果演示：

【shineastdh原创】玩玩微点之一：利用CreateEvent函数不让微点启动
http://hi.baidu.com/shineastdh/b ... 465209d9f9fd4c.html

[ Last edited by 点饭的百度空间 on 2008-10-25 at 19:33 ]

※ ※ ※ 本文纯属【点饭的百度空间】个人意见，与【微点交流论坛】立场无关※ ※ ※

你的微笑 is 微点的骄傲！
http://hi.baidu.com/new/micropoint

2008-10-24 21:24

mj0011_decoder
禁止发言

积分 0
发帖 33
注册 2008-10-1

#2

ZwCreateRemoteThread...

太搞笑了。。。

微点居然被这么挫的人玩了真可怜

※ ※ ※ 本文纯属【mj0011_decoder】个人意见，与【微点交流论坛】立场无关※ ※ ※

2008-10-24 22:50

blackspiral
新手上路

积分 44
发帖 44
注册 2008-3-8

#3

2楼到处煽风点火

※ ※ ※ 本文纯属【blackspiral】个人意见，与【微点交流论坛】立场无关※ ※ ※

2008-10-25 17:16

ccfish
中级用户

积分 424
发帖 423
注册 2006-8-21
来自中关村

#4

直接给你加到行为库里,

※ ※ ※ 本文纯属【ccfish】个人意见，与【微点交流论坛】立场无关※ ※ ※

2008-10-25 18:50

gudan
高级用户

积分 605
发帖 579
注册 2007-7-20

#5

二楼打错字了

※ ※ ※ 本文纯属【gudan】个人意见，与【微点交流论坛】立场无关※ ※ ※

相思无用唯别而已
别期若有定
千般煎熬又何如
莫道黯然销魂
何处柳暗花明

2008-11-1 02:14

论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏

[ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司福建东方微点信息安全有限责任公司闽ICP备05030815号