微点交流论坛

标题: 【shineast】利用APC代码注入Ring3强杀微点（已封） [打印本页]

作者: 点饭的百度空间 时间: 2009-1-19 20:13 标题: 【shineast】利用APC代码注入Ring3强杀微点（已封）

西安市交通大学张东辉 shineast
计算机专业，网络安全方向
漏洞挖掘进行到底! 处处留心皆学问!

我的理想就是做中国最好的杀毒软件，现在正在学习微点，虽然微点在技术上有很多问题，但是思想上已经是创新了。另外微点实现这个思想的时候方法、细节还是有点问题，绕过就是很头疼的问题。没办法，搞事业就要不断的遇到问题，能做好技术，解决好问题才是王道！

2009年01月19日星期一下午 07:47

微点的自我保护做得是相当不错了，正因为此，挑战微点的自我保护才更有趣。不过本文没有任何想要贬低微点的意图，仅作技术研究而已。

之前本人还写过两篇，在本空间可以找到，第一篇意义不大，第二篇还行，可以在ring3杀掉微点。

玩玩微点之一：利用CreateEvent函数不让微点启动
http://hi.baidu.com/shineastdh/b ... 465209d9f9fd4c.html

玩玩微点之二：利用远程线程Ring3杀微点（严重）
http://hi.baidu.com/shineastdh/b ... 173d3b70cf6c58.html

今天写的这篇意义和上面第二篇差不多，都是在ring3杀死微点微点托盘图标上的那个黄秋不转了。废话不说了，我大概说说思路：

1.首先得到微点进程的pid和handle，我想这不是什么难事；

2.枚举微点进程的每个线程，得到线程的tid和handle，我想这也不是什么难事；

3.在微点的进程内存中找这样的字符串"nel32.dll"，一定可以找到，因为"kernel32.dll"这样的字符串是必然存在的；找到以后把这个字符串的地址记录下来。切忌该过程中，顶多读它的内存而已，动作不要太大。

4.QueueUserAPC((PAPCFUNC)LoadLibraryA, hThread, (ULONG_PTR)pStrAddress) 其中hThread是上面第2步得到的线程句柄，pStrAddress是上面第3步得到的"nel32.dll"字符串的地址。

这样的话，由于微点没有防QueueUserAPC，于是nel32.dll便成功的注入到微点的某个进程中。当然了这里要注意两点：

一是，nel32.dll要提前复制到系统目录下去，例如C:\windows或者C:\windows\system32；

二是，为了杀死微点的进程，nel32.dll可以如下写：

BOOL APIENTRY DllMain( HANDLE hModule,
                     DWORD ul_reason_for_call,
                     LPVOID lpReserved)
{
if(ul_reason_for_call == DLL_PROCESS_ATTACH)
ExitProcess(0);
return TRUE;
}

好了，源码就不放出来了，放个bin吧，可以去我的网盘下载！

http://shineast.ys168.com/

shineast_Active_Defense_Software 我原创的主动防御软件：
http://hi.baidu.com/micropoint/b ... 9a263967096eaf.html

[ Last edited by 点饭的百度空间 on 2009-8-11 at 09:40 ]

作者: 独孤不平 时间: 2009-1-19 21:00
这个不是那个pe吗？无语了。。。。。

作者: 御剑临风 时间: 2009-1-19 21:26
对楼主很无奈啊老爱弄点这。楼主貌似是闲人一个？呵呵

放心使用微点吧。。

你没事多弄弄给微点反映吧太闲了。。。郁闷大家都忙的要死啊。 O(∩_∩)O

[ Last edited by 御剑临风 on 2009-1-19 at 21:27 ]

作者: resttst 时间: 2009-1-19 22:22
呵呵,虽然看不懂,但这样也不错啊,可以让微点及时发现漏洞,更加完善:)

作者: mamsds 时间: 2009-1-20 00:06
我觉得LZ很好，至少说明微点需要高手才能被结束嘛——要是瑞星就没人说了——自己找个360就可以结束瑞星所有进程！

作者: 御剑临风 时间: 2009-1-20 06:53
楼主又是转帖的吧！这个具备实战意义吗

作者: dl123100 时间: 2009-1-20 08:45
给的测试程序vista下运行后没反应。
开始没仔细看还以为是R0的APC法结束微点，这微点倒是防不住，也不怎么需要防。
R3的官方还是处理下吧。

作者: gownsmans 时间: 2009-1-20 10:22
有高手愿意主动测试微点，这是好事啊。

作者: senw123 时间: 2009-1-20 11:05
有更多的高手来才会让微点更好

作者: 点饭的百度空间 时间: 2009-1-20 17:59
作者原创的主动防御软件（他网盘里有下载）现在运行的时候微点不会报了

但微点会拦截他的驱动加载！建议官方更新下识别为已知安全软件

http://shineast.ys168.com

作者: Legend 时间: 2009-1-21 16:09

Quote:

Originally posted by 点饭的百度空间 at 2009-1-20 17:59:
作者原创的主动防御软件（他网盘里有下载）现在运行的时候微点不会报了

但微点会拦截他的驱动加载！建议官方更新下识别为已知安全软件

http://shineast.ys168.com

此问题已经解决，请等待升级即可。

作者: wsmurderer 时间: 2009-1-22 10:44
有高手玩微点说明微点的强大，也能不断地提高微点。

作者: 清幻梦沁 时间: 2009-1-24 23:47
5L结束瑞星的方法好猥琐……
其实冰刃也可以杀微点……

作者: wsmurderer 时间: 2009-1-29 14:20
微点被强杀到现在都还没解决。。。牛人啊

作者: digua008 时间: 2009-2-2 21:42
问题总是发现后才改进的啊.支持楼主

作者: rainman 时间: 2009-2-17 00:51
好，牛人！希望继续，促进主动防御的进步！现在的微点不是防毒的终结者，被后人超越也是正常的，否则何来技术的进步。

作者: 化外愚民 时间: 2009-2-18 08:35

Quote:

Originally posted by wsmurderer at 2009-1-22 10:44:
有高手玩微点说明微点的强大，也能不断地提高微点。

赞同。虚怀若谷方能越发强大。

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn