百度空间 | 百度首页 
 
查看文章
  
[胡扯]微点在检测IFEO方面好脆弱啊
2008年04月20日 星期日 19:34

    最近没闲着,专业课的东西太烦了.索性利用周末的时间放松下,摸一摸久违的驱动.正在逆mp110003.sys,看到一个函数,调用几个太容易被做手脚的API来避免自己不被病毒重定向.太仓促了吧~

ZwOpenKey、ZwEnumerateKey、ZwDeleteKey

而且N多变量定义了也没用,浪费宝贵的内存空间,驱动写的不规范啊~

1. 简单分析:

然后很神奇的发现,微点在宏观上对付病毒的IFEO劫持伎俩还是不错的: 开启一个系统线程,反复的检测自己是否被劫持.很无语...

2. 突破思路:

MP对驱动的监视不是很严格,搞个一般的驱动,hook掉几个更底的操作注册表的函数CmXXXX, 让MP在调用ZwOpenKey、ZwEnumerateKey、ZwDeleteKey这些函数时失效,然后加个DPC反复回写IFEO,劫持掉微点的MPUpdate.exe,只要微点一升级,病毒就运行一次, 然后病毒再启动微点的升级程序...

至于如何hook底层函数,网上都有相关资料,那几个CmXXX,大家可以参看WRK,比如在ZwDeleteKey函数内部会调用CmpCallCallBacks等,可以考虑考虑,XX之...

这样简单的IFEO操作,突破微点都不难...微点要继续加强哦~~~

btw:发现很多时候,放个BIN,然后被热心的同学上报到微点官方,然后微点官方很开心的提取特征码,然后BIN就被识别,接着就被扼杀了... 不过这到和主动防御没什么关系咯 - -

ps:随便写写,没有任何恶意,就不用瞎起哄了吧; 有兴趣的可以自己写点code测试下 .


类别:Note | 浏览() | 评论 (15)
 
最近读者:
 
网友评论:
1
2008年04月21日 星期一 21:07
厉害 崇拜
 
2
2008年04月22日 星期二 05:45
你都能加载驱动了还要 Hook Cm*** 来达到通过 IFEO 劫持微点的目的?这和拿着装满子弹的枪来砸人差不多。 另外那个多余变量是 HexRays 的常见问题,并不能说明程序本来就是这么写的。
 
3
2008年04月22日 星期二 08:04
哦. 顶下FC牛~
 
4
2008年04月25日 星期五 14:46
分析的不错, 学习...
 
5
2008年04月28日 星期一 15:11
拿着装满子弹的枪来砸人,HOHO,好办法
 
7
2008年05月10日 星期六 17:17
呵呵,“拿着装满子弹的枪来砸人...” 下次 ASM 个操作系统来感染主机算了, 绝对的控制权!
 
8
2008年05月10日 星期六 23:35
分析了半天,还是hook CmXXX,确实拿枪砸人了! 这样做如何:给微点发假的关机信号,使其保护线程退出,然后进行映像劫持。 ——我实验下。。。
 
9
2008年05月11日 星期日 09:11
哈哈。不错啊。
 
10
2008年05月11日 星期日 11:11
假关机信号? 这个消息要怎么发呢 有难度...
 
12
2008年05月11日 星期日 13:34
TO 楼上的: MP一点儿也不耗内存。那几个3个进程是MP的服务程序... 其实绕过微点很方便,替换beep.sys就够了,加载了驱动什么都可以干了~~~ - -
 
13
2008年05月17日 星期六 13:31
确实是拿枪砸人了 - -
 
14
2008年05月22日 星期四 00:50
......那是你在关闭微点的情况下,替换beep.sys 微点回报警的
 
15
2008年05月22日 星期四 05:44
TO LSD: 对你的言论很无语. XXXXXXXXX
 
16
2008年06月19日 星期四 17:01
wm_0-500 能干掉微点不
 
18
2008年07月23日 星期三 17:28
貌似微点除了自己的文件名之外,其他的IEFO都不管……
 
本篇日志被作者设置为禁止发表新评论

     

©2009 Baidu