qq200878
中级用户
积分 456
发帖 452
注册 2007-11-17
|
#1 Micropoint 点饭安全公告 MP08-003(转)
转帖Micropoint 点饭安全公告 MP08-003
测试样本可能会导致微点被删除。
发布日期:2008年4月24日
发布人:SONGBOWEN、Polly、046569
摘要:
本文的目标读者:使用微点任意版本的用户
漏洞的影响:微点被删除。
最高严重等级:轻微(等级划分为:非常轻微、轻微、一般、严重、非常严重)
建议:客户请及时关注点饭技术论坛公告。
受影响的软件:
微点主动防御软件
程序版本: 1.2.10573.0056
特征版本: 1.6.681.080424
更新时间: 2008-04-24 16:32:52之前的所有版本(含测试版与预升级)。
漏洞详情:
点饭技术论坛截获一测试样本,该程序在ring0下会删除使用默认安装路径的微点。这是一个没有公开的样本,因此该漏洞被定义为轻微。
以下为小宋的评论
因为这次是Ring0级的内核态驱动,所以想要防范几乎是不可能的,除非拦截全部驱动的加载和物理内存操作等,不过这样工作量巨大……
估计微点要忙活一阵子了。。。。
到时候,微点可能会更像HIPS,遇到可疑驱动(当然需要驱动白名单啦~),先询问,再加载。。。。。
和谁先启动都没关系,只要能加载就行了,无论用什么方法~
比如直接用sc start启动,或者写物理内存,再或者用其他Ring3的程序LoadDriver,反正都可以
只要恶意驱动能成功加载,那么微点或者其他HIPS都一样会惨遭厄运。
微点不会拦截系统的LoadDriver操作
soga 载入驱动不会拦截! 这个其实是一个致命的问题……
如果不拦截这个操作,那么rootkit想做什么都可以了,甚至完全不用考虑微点的存在。。。。。
| |
※ ※ ※ 本文纯属【qq200878】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
 |
|
