微点交流论坛

标题: Micropoint 点饭安全公告 MP08-003(转） [打印本页]

作者: qq200878 时间: 2008-4-26 12:19 标题: Micropoint 点饭安全公告 MP08-003(转）

转帖Micropoint 点饭安全公告 MP08-003
测试样本可能会导致微点被删除。
发布日期：2008年4月24日
发布人：SONGBOWEN、Polly、046569
摘要：
本文的目标读者：使用微点任意版本的用户
漏洞的影响：微点被删除。
最高严重等级：轻微（等级划分为：非常轻微、轻微、一般、严重、非常严重）
建议：客户请及时关注点饭技术论坛公告。
受影响的软件：
微点主动防御软件
程序版本： 1.2.10573.0056
特征版本： 1.6.681.080424
更新时间： 2008-04-24 16:32:52之前的所有版本（含测试版与预升级）。
漏洞详情：
点饭技术论坛截获一测试样本，该程序在ring0下会删除使用默认安装路径的微点。这是一个没有公开的样本，因此该漏洞被定义为轻微。
以下为小宋的评论
因为这次是Ring0级的内核态驱动，所以想要防范几乎是不可能的，除非拦截全部驱动的加载和物理内存操作等，不过这样工作量巨大……

估计微点要忙活一阵子了。。。。

到时候，微点可能会更像HIPS，遇到可疑驱动（当然需要驱动白名单啦～），先询问，再加载。。。。。
和谁先启动都没关系，只要能加载就行了，无论用什么方法～

比如直接用sc start启动，或者写物理内存，再或者用其他Ring3的程序LoadDriver，反正都可以
只要恶意驱动能成功加载，那么微点或者其他HIPS都一样会惨遭厄运。
微点不会拦截系统的LoadDriver操作
soga 载入驱动不会拦截！这个其实是一个致命的问题……
如果不拦截这个操作，那么rootkit想做什么都可以了，甚至完全不用考虑微点的存在。。。。。

作者: hds_ss 时间: 2008-4-26 15:04
真是这样吗？超版出来说几句吧！

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn