点饭的百度空间
银牌会员
积分 2315
发帖 2236
注册 2007-11-30
|
#1 [sudami]微点在检测IFEO方面好脆弱啊 (sudami 08/04/20)
作者 WINDOWS内核疯狂爱好者sudami (黑基版主苏大米)
转自:http://hi.baidu.com/sudami/blog/ ... e45da2d9335a9e.html
最近没闲着,专业课的东西太烦了.索性利用周末的时间放松下,摸一摸久违的驱动.在测试微点主动防御的过程中,发现mp110003.sys的一个函数,调用几个太容易被做手脚的API来避免自己不被病毒重定向.太仓促了吧~
ZwOpenKey、ZwEnumerateKey、ZwDeleteKey
而且N多变量定义了也没用,浪费宝贵的内存空间,驱动写的不规范啊~
1. 简单分析:
然后很神奇的发现,微点在宏观上对付病毒的IFEO劫持伎俩还是不错的: 开启一个系统线程,反复的检测自己是否被劫持.很无语...
2. 突破思路:
MP对驱动的监视不是很严格,搞个一般的驱动,hook掉几个更底的操作注册表的函数CmXXXX, 让MP在调用ZwOpenKey、ZwEnumerateKey、ZwDeleteKey这些函数时失效,然后加个DPC反复回写IFEO,劫持掉微点的MPUpdate.exe,只要微点一升级,病毒就运行一次, 然后病毒再启动微点的升级程序...
至于如何hook底层函数,网上都有相关资料,那几个CmXXX,大家可以参看WRK,比如在ZwDeleteKey函数内部会调用CmpCallCallBacks等,可以考虑考虑,XX之...
这样简单的IFEO操作,突破微点都不难...微点要继续加强哦~~~
btw:发现很多时候,放个BIN,然后被热心的同学上报到微点官方,然后微点官方很开心的提取特征码,然后BIN就被识别,接着就被扼杀了... 不过这到和主动防御没什么关系咯 - -
ps:随便写写,没有任何恶意,就不用瞎起哄了吧; 有兴趣的可以自己写点code测试下  . 这周实习,本来准备放个BIN的.可是目前没时间做BIN出来了~~~
相关主题:
[原创]利用驱动干掉KV 2008, Rising,微点等大部分杀软
http://hi.baidu.com/sudami/blog/ ... 8fe3dfb6fd481a.html
[note]fuck all the "time protected" Software(1)
http://hi.baidu.com/sudami/blog/ ... 3d1d500923020c.html
[ Last edited by 点饭的百度空间 on 2009-1-6 at 11:28 ]
| |
※ ※ ※ 本文纯属【点饭的百度空间】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
你的微笑 is 微点的骄傲!
http://hi.baidu.com/new/micropoint |
|
|
2008-4-21 20:39 |
|
s.wither
新手上路
积分 6
发帖 6
注册 2008-4-16
|
#2
汗,不是吧.
我不是什么wangsea,更不是什么反黑工具Wsyscheck的作者啊.
菜鸟一个,就不要瞎起哄了.
| |
※ ※ ※ 本文纯属【s.wither】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2008-4-21 21:00 |
|
点饭的百度空间
银牌会员
积分 2315
发帖 2236
注册 2007-11-30
|
#3
| Quote: | Originally posted by s.wither at 2008-4-21 21:00:
汗,不是吧.
我不是什么wangsea,更不是什么反黑工具Wsyscheck的作者啊.
菜鸟一个,就不要瞎起哄了. |
|
已修改
| |
※ ※ ※ 本文纯属【点饭的百度空间】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
你的微笑 is 微点的骄傲!
http://hi.baidu.com/new/micropoint |
|
|
|
2008-4-21 21:13 |
|
木头
新手上路
积分 23
发帖 23
注册 2008-4-1
|
#4
太强了,高人呐,佩服!
| |
※ ※ ※ 本文纯属【木头】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2008-4-22 11:33 |
|
nizhiyi
注册用户
积分 72
发帖 72
注册 2007-11-27
|
#5 不知到微点有没有修正了?
官方也要有明确的答复
| |
※ ※ ※ 本文纯属【nizhiyi】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2008-4-22 12:23 |
|
threeswords
中级用户
积分 400
发帖 387
注册 2008-3-25
|
#6
以前vista下老蓝屏,引起错误的绝大部分都是mp110003.sys这个驱动(用DEBUGGING TOOLS FOR WINDOWS看的),可能这个驱动编写的有些小问题,在某些情况下会造成蓝屏
| |
※ ※ ※ 本文纯属【threeswords】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2008-4-22 13:10 |
|
youyunsoft
注册用户
积分 55
发帖 55
注册 2007-2-9
|
#7 我想知道是如何还原代码的
用的是什么工具呀
| |
※ ※ ※ 本文纯属【youyunsoft】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2008-4-22 15:02 |
|
qq200878
中级用户
积分 456
发帖 452
注册 2007-11-17
|
#8
的确有问题,要修复
| |
※ ※ ※ 本文纯属【qq200878】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2008-4-22 16:24 |
|
kangdell
注册用户
积分 159
发帖 159
注册 2008-6-8
|
#9
菜鸟路过
| |
※ ※ ※ 本文纯属【kangdell】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2008-7-16 11:41 |
|
farproc
注册用户
积分 135
发帖 135
注册 2007-5-8
|
#10
呵呵,有骗人之嫌!
你怎么会有微点的驱动源代码?你是微点的开发人员还是你入侵了微点的SVN服务器?
| |
※ ※ ※ 本文纯属【farproc】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2008-7-17 09:56 |
|
