Board logo

标题: [sudami]微点在检测IFEO方面好脆弱啊 (sudami 08/04/20) [打印本页]
作者: 点饭的百度空间     时间: 2008-4-21 20:39    标题: [sudami]微点在检测IFEO方面好脆弱啊 (sudami 08/04/20)

作者 WINDOWS内核疯狂爱好者sudami  (黑基版主苏大米)
转自:http://hi.baidu.com/sudami/blog/ ... e45da2d9335a9e.html

最近没闲着,专业课的东西太烦了.索性利用周末的时间放松下,摸一摸久违的驱动.在测试微点主动防御的过程中,发现mp110003.sys的一个函数,调用几个太容易被做手脚的API来避免自己不被病毒重定向.太仓促了吧~

ZwOpenKey、ZwEnumerateKey、ZwDeleteKey

而且N多变量定义了也没用,浪费宝贵的内存空间,驱动写的不规范啊~

1. 简单分析:





然后很神奇的发现,微点在宏观上对付病毒的IFEO劫持伎俩还是不错的: 开启一个系统线程,反复的检测自己是否被劫持.很无语...




2. 突破思路:

MP对驱动的监视不是很严格,搞个一般的驱动,hook掉几个更底的操作注册表的函数CmXXXX, 让MP在调用ZwOpenKey、ZwEnumerateKey、ZwDeleteKey这些函数时失效,然后加个DPC反复回写IFEO,劫持掉微点的MPUpdate.exe,只要微点一升级,病毒就运行一次, 然后病毒再启动微点的升级程序...

至于如何hook底层函数,网上都有相关资料,那几个CmXXX,大家可以参看WRK,比如在ZwDeleteKey函数内部会调用CmpCallCallBacks等,可以考虑考虑,XX之...

这样简单的IFEO操作,突破微点都不难...微点要继续加强哦~~~

btw:发现很多时候,放个BIN,然后被热心的同学上报到微点官方,然后微点官方很开心的提取特征码,然后BIN就被识别,接着就被扼杀了... 不过这到和主动防御没什么关系咯 - -

ps:随便写写,没有任何恶意,就不用瞎起哄了吧; 有兴趣的可以自己写点code测试下 :). 这周实习,本来准备放个BIN的.可是目前没时间做BIN出来了~~~
相关主题
[原创]利用驱动干掉KV 2008, Rising,微点等大部分杀软
http://hi.baidu.com/sudami/blog/ ... 8fe3dfb6fd481a.html

[note]fuck all the "time protected" Software(1)
http://hi.baidu.com/sudami/blog/ ... 3d1d500923020c.html

[ Last edited by 点饭的百度空间 on 2009-1-6 at 11:28 ]
作者: s.wither     时间: 2008-4-21 21:00
汗,不是吧.

我不是什么wangsea,更不是什么反黑工具Wsyscheck的作者啊.

菜鸟一个,就不要瞎起哄了.
作者: 点饭的百度空间     时间: 2008-4-21 21:13


  Quote:
Originally posted by s.wither at 2008-4-21 21:00:
汗,不是吧.

我不是什么wangsea,更不是什么反黑工具Wsyscheck的作者啊.

菜鸟一个,就不要瞎起哄了.

已修改
作者: 木头     时间: 2008-4-22 11:33
太强了,高人呐,佩服!
作者: nizhiyi     时间: 2008-4-22 12:23    标题: 不知到微点有没有修正了?

官方也要有明确的答复
作者: threeswords     时间: 2008-4-22 13:10
以前vista下老蓝屏,引起错误的绝大部分都是mp110003.sys这个驱动(用DEBUGGING TOOLS FOR WINDOWS看的),可能这个驱动编写的有些小问题,在某些情况下会造成蓝屏
作者: youyunsoft     时间: 2008-4-22 15:02    标题: 我想知道是如何还原代码的

用的是什么工具呀
作者: qq200878     时间: 2008-4-22 16:24
的确有问题,要修复
作者: kangdell     时间: 2008-7-16 11:41
菜鸟路过
作者: farproc     时间: 2008-7-17 09:56
呵呵,有骗人之嫌!
你怎么会有微点的驱动源代码?你是微点的开发人员还是你入侵了微点的SVN服务器?
作者: qq200878     时间: 2008-7-17 10:37
反汇编得到的嘛
作者: jjyy2007     时间: 2008-7-18 17:08


  Quote:
Originally posted by qq200878 at 2008-7-17 10:37:
反汇编得到的嘛

反编译一般得到的是汇编码吧?
作者: farproc     时间: 2008-7-25 09:10


  Quote:
Originally posted by qq200878 at 2008-7-17 10:37:
反汇编得到的嘛

反汇编能得到类似"SourceString"之类有意义的变量名??
如果你不是忽悠的话,请让我开看眼,把Windows系统的画图程序帮我反汇编成类似上面的C代码,刚好最近研究GDI绘图,让我参考一下嘛!!



欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/) bbs.micropoint.com.cn