Board logo

标题: 【hovidelphic】对微点自我保护的一些测试 结束微点进程 [打印本页]
作者: 点饭的百度空间     时间: 2009-7-19 00:02    标题: 【hovidelphic】对微点自我保护的一些测试 结束微点进程

【0DAY】微点(1.2.10581.0108)的三个严重危胁自身安全的漏洞
2009-07-18 15:35  

  第一,可以用NtDuplicateObject取到微点进程的句柄;

  第二,可以取到微点窗体的句柄;

  第三,被信任的程序可以用很常规的方法干掉微点的进程


【0DAY】利用微点“信任程序”漏洞在开主防无提示的情况下秒杀微点进程
2009-07-18 16:10  

  我在上篇文章中提到,微点允许它信任的程序结束自己的进程,由于有这个脑残的设计,加以适当的利用,就可以秒杀微点了。

  首先启动一个傀儡进程(svchost.exe),然后以进程注入的方式启动自己的进程(R3Kill.exe)。很奇怪的是,这一步要用到NtSetContextThread这个极端危险的函数,微点竟然一声不吭地放行了!

  打开微点的进程管理器,看到的是 svchost.exe 而非 R3Kill.exe ,这时我就心想,微点完蛋了。

  果然不出所料,把四个微点进程的PID一同输入并点击“结束进程”,微点的进程全部结束。

  我在“Ring3结束进程”使用了六种方法,我并不知道具体是哪种方法杀了微点。但我估计是“创建远程线程”这种猥琐方法。

  给我们的警示:首先,一定要严加照顾 NtDuplicateObject 和 NtSetContextThread 这个两个函数;其次,绝对不能信任任何程序!

[0DAY]微点进程被结束的后果
2009-07-18 21:32  

可以直接删除其目录下的文件。

:lol:有测试提出问题 总是好的 先发出来大家先看看再说吧

[ Last edited by 点饭的百度空间 on 2009-7-19 at 00:06 ]
作者: zgtp     时间: 2009-7-19 08:05
你真的厉害呀,,,
作者: yeniu     时间: 2009-7-19 13:34
不要给病毒太多的可趁之机
作者: lsj301     时间: 2009-7-19 15:59
不要授人以柄.



欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/) bbs.micropoint.com.cn