BypassHIPS with MS08025_MJ0011的内核驱动研究所

查看文章

BypassHIPS with MS08025

2008-04-12 22:05

没玩过漏洞，沾白细胞的光，写了一个过HIPS的~ SSM啊微点啊卡巴啊COMODO啊瑞星啊自然全挂

据说这洞从WIN2000-WIN2008全兼容呵呵，下载:http://mj0011.ys168.com,漏洞演示下xx.rar

运行完后恢复所有SSDT HOOK

注意：

1.双核上可能BSOD

2.测试时发现VMWARE里用sgdt得到的GDT地址不正确~所以不要在虚拟机里测试，会蓝屏的

在真机上测

3.只用于测试，不得用于非法用途

类别：默认分类 | 添加到搜藏 | 浏览() | 评论 (19)

最近读者：

网友评论：

2008-04-12 22:06 | 回复

我的沙发

2008-04-12 22:08 | 回复

mj不是曾经说过内核0day才是王道么？如今看来依然是这样么？

2008-04-12 22:15 | 回复

现在看来其实条条大路通罗马~但是我还是只关注内核洞

2008-04-12 22:18 | 回复

我还是继续再去找好晚的才行....

2008-04-12 23:18 | 回复

强铁留爪

2008-04-13 09:29 | 回复

用 HIPS ，阻止他一直發送消息，就能攔截了！

2008-04-13 09:30 | 回复

是發送消息給 csrss.exe 消息类型:WM_GETTEXT 消息类型:WM_SETTEXT ------------ 難怪，沙盤能防住！

2008-04-13 10:40 | 回复

楼上的那些无用测试就不需要了吧... 如果程序封掉了sendmessage后果有多严重很明显的

2008-04-13 11:43 | 回复

我又来爱你了

2008-04-13 12:33 | 回复

禁止發消息給 csrss.exe 就夠了呀！哪需要攔全部呢？

2008-04-13 13:26 | 回复

楼上的一堆SB ，我是给顶层窗口发消息，所以被拦了，改成给自己发消息就不可能被拦了

2008-04-13 14:30 | 回复

你改吧！我來測看看！

2008-04-13 22:21 | 回复

下不了啊！空间过期了，大牛在提供个下载的地址吧。谢谢。

2008-04-14 00:41 | 回复

很黄很暴力-_-b

2008-04-14 01:03 | 回复

doskey同学都来了啊~

2008-04-14 15:16 | 回复

xx.exe遇到问题需要关闭。。。。。。。 ssdt里卡巴驱动还在。放出来恶心人。

2008-04-14 15:18 | 回复

自己白痴还说别人恶心？没看到标题写着with ms08025啊？脑子有问题就别来回贴好不好？

2008-04-15 07:42 | 回复

MJ你那边能打开白细胞的论坛吗？我这打不开。。。

2008-05-09 15:29 | 回复

MJ, xx 在sp3下無傚? 一按就出錯了.運行不下去父级进程：路径： D:\Documents and Settings\nhxycfans\桌面\xx.exe PID: 2800 信息： xx Microsoft 基础类应用程序子级进程：路径： C:\WINDOWS\system32\dwwin.exe 信息： Microsoft Application Error Reporting (Microsoft Corporation) 命令行：C:\WINDOWS\system32\dwwin.exe -x -s 248

姓　名：	*姓名最长为50字节

网址或邮箱：	(选填)

内　容：

验证码：	请点击后输入四位验证码，字母不区分大小写看不清?
	取消回复