» 游客:  注册 | 登录 | 帮助  微点交流论坛 » 主动防御 » 【shineast】利用APC代码注入Ring3强杀微点（已封）    17   1/2   1   2   >  作者: 标题: 【shineast】利用APC代码注入Ring3强杀微点（已封） 点饭的百度空间 银牌会员 积分 2315 发帖 2236 注册 2007-11-30 #1  【shineast】利用APC代码注入Ring3强杀微点（已封） 西安市交通大学 张东辉 shineast 计算机专业，网络安全方向   漏洞挖掘进行到底! 处处留心皆学问! 我的理想就是做中国最好的杀毒软件，现在正在学习微点，虽然微点在技术上有很多问题，但是思想上已经是创新了。另外微点实现这个思想的时候方法、细节还是有点问题，绕过就是很头疼的问题。没办法，搞事业就要不断的遇到问题，能做好技术，解决好问题才是王道！ 2009年01月19日 星期一 下午 07:47    微点的自我保护做得是相当不错了，正因为此，挑战微点的自我保护才更有趣。不过本文没有任何想要贬低微点的意图，仅作技术研究而已。 之前本人还写过两篇，在本空间可以找到，第一篇意义不大，第二篇还行，可以在ring3杀掉微点。 玩玩微点之一：利用CreateEvent函数不让微点启动 http://hi.baidu.com/shineastdh/b ... 465209d9f9fd4c.html 玩玩微点之二：利用远程线程Ring3杀微点（严重） http://hi.baidu.com/shineastdh/b ... 173d3b70cf6c58.html 今天写的这篇意义和上面第二篇差不多，都是在ring3杀死微点 微点托盘图标上的那个黄秋不转了。废话不说了，我大概说说思路： 1.首先得到微点进程的pid和handle，我想这不是什么难事； 2.枚举微点进程的每个线程，得到线程的tid和handle，我想这也不是什么难事； 3.在微点的进程内存中找这样的字符串"nel32.dll"，一定可以找到，因为"kernel32.dll"这样的字符串是必然存在的；找到以后把这个字符串的地址记录下来。切忌该过程中，顶多读它的内存而已，动作不要太大。 4.QueueUserAPC((PAPCFUNC)LoadLibraryA, hThread, (ULONG_PTR)pStrAddress) 其中hThread是上面第2步得到的线程句柄，pStrAddress是上面第3步得到的"nel32.dll"字符串的地址。 这样的话，由于微点没有防QueueUserAPC，于是nel32.dll便成功的注入到微点的某个进程中。当然了这里要注意两点： 一是，nel32.dll要提前复制到系统目录下去，例如C:\windows或者C:\windows\system32； 二是，为了杀死微点的进程，nel32.dll可以如下写： BOOL APIENTRY DllMain( HANDLE hModule,                        DWORD ul_reason_for_call,                        LPVOID lpReserved) { if(ul_reason_for_call == DLL_PROCESS_ATTACH)    ExitProcess(0); return TRUE; } 好了，源码就不放出来了，放个bin吧，可以去我的网盘下载！ http://shineast.ys168.com/ shineast_Active_Defense_Software 我原创的主动防御软件： http://hi.baidu.com/micropoint/b ... 9a263967096eaf.html [ Last edited by 点饭的百度空间 on 2009-8-11 at 09:40 ] ※ ※ ※ 本文纯属【点饭的百度空间】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 你的微笑 is 微点的骄傲！ http://hi.baidu.com/new/micropoint 2009-1-19 20:13 独孤不平 注册用户 积分 128 发帖 122 注册 2008-10-3 #2   这个不是那个pe吗？无语了。。。。。 ※ ※ ※ 本文纯属【独孤不平】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2009-1-19 21:00 御剑临风 禁止发言 威武大将军 积分 2135 发帖 2192 注册 2008-8-22 #3   对楼主很无奈啊 老爱弄点这。楼主貌似是闲人一个？ 呵呵 放心使用微点吧。。 你没事多弄弄给微点反映吧  太闲了。。。郁闷 大家都忙的要死啊。 O(∩_∩)O [ Last edited by 御剑临风 on 2009-1-19 at 21:27 ] ※ ※ ※ 本文纯属【御剑临风】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2009-1-19 21:26 resttst 注册用户 积分 105 发帖 105 注册 2007-12-7 #4   呵呵,虽然看不懂,但这样也不错啊,可以让微点及时发现漏洞,更加完善 ※ ※ ※ 本文纯属【resttst】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2009-1-19 22:22 mamsds 银牌会员 积分 1373 发帖 1360 注册 2008-3-15 来自 乌克兰 #5   我觉得LZ很好，至少说明微点需要高手才能被结束嘛——要是瑞星就没人说了——自己找个360就可以结束瑞星所有进程！ ※ ※ ※ 本文纯属【mamsds】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ Vi Veri Veniversum Vivus Vici. 2009-1-20 00:06 御剑临风 禁止发言 威武大将军 积分 2135 发帖 2192 注册 2008-8-22 #6   楼主又是转帖的吧！这个具备实战意义吗 ※ ※ ※ 本文纯属【御剑临风】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2009-1-20 06:53 dl123100 注册用户 积分 63 发帖 63 注册 2007-8-6 #7   给的测试程序vista下运行后没反应。 开始没仔细看还以为是R0的APC法结束微点，这微点倒是防不住，也不怎么需要防。 R3的官方还是处理下吧。 ※ ※ ※ 本文纯属【dl123100】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2009-1-20 08:45 gownsmans 新手上路 积分 13 发帖 13 注册 2009-1-8 #8   有高手愿意主动测试微点，这是好事啊。 ※ ※ ※ 本文纯属【gownsmans】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2009-1-20 10:22 senw123 注册用户 积分 179 发帖 179 注册 2007-12-23 #9   有更多 的高手来才会让微点更好 ※ ※ ※ 本文纯属【senw123】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2009-1-20 11:05 点饭的百度空间 银牌会员 积分 2315 发帖 2236 注册 2007-11-30 #10   作者原创的主动防御软件（他网盘里有下载）现在运行的时候微点不会报了 但微点会拦截他的驱动加载！ 建议官方更新下识别为已知安全软件 http://shineast.ys168.com ※ ※ ※ 本文纯属【点饭的百度空间】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 你的微笑 is 微点的骄傲！ http://hi.baidu.com/new/micropoint 2009-1-20 17:59  17   1/2   1   2   >  论坛跳转: 微点软件公测区 安全快报  > 病毒快报  > 漏洞快报 微点产品在线技术支持  > 微点主动防御软件  > 预升级反馈专区  > 微点杀毒软件 微点用户交流区  > 微点新闻  > 微点软件使用交流  > 微点茶室 安全技术交流区  > 主动防御  > 反病毒  > 防火墙 综合区  > 电脑&数码  > 体育&娱乐&休闲  > 灌水区 版务管理 内部使用专区  可打印版本 | 推荐 | 订阅 | 收藏 [ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司 闽ICP备05030815号