微点交流论坛 - 主动防御 - 大放血，一种新的加载驱动方法非完整爆光！

» 游客: 注册 | 登录 | 帮助

微点交流论坛 » 主动防御 » 大放血，一种新的加载驱动方法非完整爆光！

snhao
银牌会员

积分 1791
发帖 1782
注册 2007-6-12

#1 大放血，一种新的加载驱动方法非完整爆光！

大放血，一种新的加载驱动方法非完整爆光

2009-5-28 19:54:1 作者:langouster

端午大放血，一种新的加载驱动方法，应该属于0day。为了网民考虑，我不会公开全部技术，但如果有心，根据这些要点肯定可以研究出这个技术。

加载步骤：

1。编写一驱动，不用关sfc，直接复制替换系统目录下的某文件。

2。调用某API函数，此函数不是由ntdll,kernel32,user32这些DLL导出的，是可以在MSDN里查到的，为便于说明我叫它func1，如果不出意外驱动就已经加载了。

伪代码只有两行：

CopyFile("aaa.sys",'c:\\windows\\system32\XXXX.XXX');

func1(...);

特别注意：加载的驱动不能用一般的驱动，一般的驱动的入口点是

NTSTATUS DriverEntry( IN PDRIVER_OBJECT DriverObject, IN PUNICODE_STRING RegistryPath );

而这个驱动的入口点函数应该写成

NTSTATUS DriverEntry(LPVOID a,LPVOID b,LPVOID c)//注意，它没有PDRIVER_OBJECT

说明：

1。我大概测试了下以下杀软，没有一个报的

xp vista win7
瑞星+360 不报
超级巡警不报
kis7 不报
微点不报
卡巴2009 加载驱动不报,替换文件报(xyzreg帮助测试)

2。只要能替换system32目录下的那个文件，调用那个func1函数是没有权限要求的，所以在fat32系统上应该能直接从低权限提升到system权限。(也算是一个提权0day了)

3。好像貌似有办法不用自己调用func1函数，可以在替换文件后让csrss进程去加载这个驱动，也就是说杀软如果报了，也不会报你的程序。。。。。但我还没有完全研究出来，此条不一定正确。

4。发现此0day时间不长，工作又太忙，还没仔细研究，以上说明中可能有些不妥的地方，望谅解
http://www.langouster.com/HTML/76.html

※ ※ ※ 本文纯属【snhao】个人意见，与【微点交流论坛】立场无关※ ※ ※

东方微点论坛

2009-6-11 10:32

littlefritz
版主

微点帮帮团团长

积分 3505
发帖 3502
注册 2009-5-23
来自微点帮帮团

#2

似乎楼主的那种方式已经成为了木马的传播方式，另，瑞星好像报了

※ ※ ※ 本文纯属【littlefritz】个人意见，与【微点交流论坛】立场无关※ ※ ※

2009-6-12 17:38

qq200878
中级用户

积分 456
发帖 452
注册 2007-11-17

#3

微点本来就不报加驱呀

※ ※ ※ 本文纯属【qq200878】个人意见，与【微点交流论坛】立场无关※ ※ ※

2009-6-12 17:46

mamsds
银牌会员

积分 1373
发帖 1360
注册 2008-3-15
来自乌克兰

#4

对嘛，我看到很多人写这些文章的时候，都说微点不报，微点不报很正常呀——报了才奇怪

※ ※ ※ 本文纯属【mamsds】个人意见，与【微点交流论坛】立场无关※ ※ ※

Vi Veri Veniversum Vivus Vici.

2009-6-12 21:02

yangliu2000
中级用户

积分 209
发帖 209
注册 2009-1-13

#5

这个方法，对电脑有什么危害?

※ ※ ※ 本文纯属【yangliu2000】个人意见，与【微点交流论坛】立场无关※ ※ ※

2009-6-24 08:02

yiheyou
中级用户

积分 446
发帖 446
注册 2008-12-26
来自成都

#6

微点怎么会报～

※ ※ ※ 本文纯属【yiheyou】个人意见，与【微点交流论坛】立场无关※ ※ ※

2009-6-24 11:07

论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏

[ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司福建东方微点信息安全有限责任公司闽ICP备05030815号