标题:
大放血,一种新的加载驱动方法非完整爆光!
[打印本页]
作者:
snhao
时间:
2009-6-11 10:32
标题:
大放血,一种新的加载驱动方法非完整爆光!
大放血,一种新的加载驱动方法非完整爆光
2009-5-28 19:54:1 作者:langouster
端午大放血,一种新的加载驱动方法,应该属于0day。为了网民考虑,我不会公开全部技术,但如果有心,根据这些要点肯定可以研究出这个技术。
加载步骤:
1。编写一驱动,不用关sfc,直接复制替换系统目录下的某文件。
2。调用某API函数,此函数不是由ntdll,kernel32,user32这些DLL导出的,是可以在MSDN里查到的,为便于说明我叫它func1,如果不出意外驱动就已经加载了。
伪代码只有两行:
CopyFile("aaa.sys",'c:\\windows\\system32\XXXX.XXX');
func1(...);
特别注意:加载的驱动不能用一般的驱动,一般的驱动的入口点是
NTSTATUS DriverEntry( IN PDRIVER_OBJECT DriverObject, IN PUNICODE_STRING RegistryPath );
而这个驱动的入口点函数应该写成
NTSTATUS DriverEntry(LPVOID a,LPVOID b,LPVOID c)//注意,它没有PDRIVER_OBJECT
说明:
1。我大概测试了下以下杀软,没有一个报的
xp vista win7
瑞星+360 不报
超级巡警 不报
kis7 不报
微点 不报
卡巴2009 加载驱动不报,替换文件报(xyzreg帮助测试)
2。只要能替换system32目录下的那个文件,调用那个func1函数是没有权限要求的,所以在fat32系统上应该能直接从低权限提升到system权限。(也算是一个提权0day了)
3。好像貌似有办法不用自己调用func1函数,可以在替换文件后让csrss进程去加载这个驱动,也就是说杀软如果报了,也不会报你的程序。。。。。但我还没有完全研究出来,此条不一定正确。
4。发现此0day时间不长,工作又太忙,还没仔细研究,以上说明中可能有些不妥的地方,望谅解
http://www.langouster.com/HTML/76.html
作者:
littlefritz
时间:
2009-6-12 17:38
似乎楼主的那种方式已经成为了木马的传播方式,另,瑞星好像报了
作者:
qq200878
时间:
2009-6-12 17:46
微点本来就不报加驱呀
作者:
mamsds
时间:
2009-6-12 21:02
对嘛,我看到很多人写这些文章的时候,都说微点不报,微点不报很正常呀——报了才奇怪
作者:
yangliu2000
时间:
2009-6-24 08:02
这个方法,对电脑有什么危害?
作者:
yiheyou
时间:
2009-6-24 11:07
微点怎么会报~
欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/)
bbs.micropoint.com.cn
