本论坛为只读模式,仅供查阅,不能注册新用户,不能发帖/回帖,有问题可发邮件 xikug.xp (^) gmail.com
查看: 43767|回复: 156

寄宿加载:另一种可能? [复制链接]

Rank: 3Rank: 3

发表于 2009-4-23 19:11:11 |显示全部楼层
作者:Azy
日期:2009-04-23

   最近逆向的一点思路和总结,旨在分享。
核心思想:借助m$第一方驱动来加载驱动(通常是ZwLoadDriver),绕过一些HIPS/主防之类。谓之“寄宿”加载法(本人独创?)
方法1:dmload法。之前讲过(http://hi.baidu.com/azy0922/blog ... 0941ac4723e875.html),通过创建一个特殊的dmload子键,替换掉dmboot实现重启加载。不过此法又要替换又要重启的,利用价值不大,不过是一个良好思路的开始。
方法2:gpc法。类上,不过只需替换文件,缺点是也要重启加载
方法3:termdd法。通过给termdd设备发送一个特定的ioctl code可实现动态驱动加载,不过该法限定加载进程要具有system权限。远程注射可能不是一个良好的方案(容易被报警),附件里提供了一种可行办法。
附件:XPSP2,运行a2s.exe,即刻加载dmboot(随便选了一个,只为测效果)。
----------------------------->
测试可穿越的HIPS
+SSM
+Realtime Defender
+Comodo Defense
+Malware Defender

测试不可穿越的HIPS
+EQSysSecure

termddload.rar

15 KB, 下载次数: 1276

Rank: 5Rank: 5

发表于 2009-4-23 19:59:15 |显示全部楼层
不错 沙发

Rank: 5Rank: 5

发表于 2009-4-23 20:00:24 |显示全部楼层
其实gdi xxx加载也是不错的方法,而且不需要重启,只是要重建一下XX~

Rank: 5Rank: 5

发表于 2009-4-23 20:07:31 |显示全部楼层
复制token其实是比较严重的XX了~还可以写IO之类的,HIPS不防的话,还是比较弱

Rank: 3Rank: 3

发表于 2009-4-23 20:13:56 |显示全部楼层
限制的太死啊~~

Rank: 5Rank: 5

发表于 2009-4-23 20:15:54 |显示全部楼层
微软在VISTA之前其实对admin的穿RING0没什么XX,主要还是关注NON-ADMIN的穿R0,但是VISTA有了PATCHGURAD后就开始注意了~不过对于LOADDRIVER这样标准方式的,应该还是可以~

Rank: 5Rank: 5

发表于 2009-4-23 20:18:07 |显示全部楼层
其实如果是为了穿越主防的话,根本不需要研究新的方法,就现有的方法,市面上存在的主防几乎就没有防御得完美的,只要稍微花上几分钟看一下,就可以标准方法完美绕过

Rank: 3Rank: 3

发表于 2009-4-23 20:20:27 |显示全部楼层
恩,就当扩展个思路吧~
以后m$做的越多,第三方安全的就没啥可搞的了

Rank: 1

发表于 2009-4-23 20:34:04 |显示全部楼层
还是穿不了我的HIPS,哈哈

Rank: 3Rank: 3

发表于 2009-4-23 20:40:07 |显示全部楼层
没关系,同一个byt用多了自然会穿的啊

Rank: 2

发表于 2009-4-23 20:51:53 |显示全部楼层
2009-04-23 18:06:52    应用程序保护(运行应用程序)     操作:阻止
进程路径:C:\\Documents and Settings\\Administrator\\桌面\\a2s.exe
文件路径:C:\\Documents and Settings\\Administrator\\桌面\\termdd.exe

2009-04-23 18:07:11    应用程序保护(运行应用程序)     操作:允许
进程路径:C:\\Documents and Settings\\Administrator\\桌面\\a2s.exe
文件路径:C:\\Documents and Settings\\Administrator\\桌面\\termdd.exe

2009-04-23 18:07:11    应用程序保护(加载驱动程序)     操作:阻止
进程路径:C:\\Documents and Settings\\Administrator\\桌面\\termdd.exe
驱动路径:C:\\WINDOWS\\System32\\drivers\\dmboot.sys

Rank: 5Rank: 5

发表于 2009-4-23 21:00:10 |显示全部楼层
引用第9楼Azy于2009-04-23 17:40发表的  :
没关系,同一个byt用多了自然会穿的啊

考虑微波背景辐射,穿HIPS还是很简单的

Rank: 3Rank: 3

发表于 2009-4-23 21:01:08 |显示全部楼层
ls的tt不错。我这有一个叫vd防火墙的,拦截一切驱动加载,用这招fuck啦

Rank: 5Rank: 5

发表于 2009-4-23 21:01:37 |显示全部楼层
引用第12楼Azy于2009-04-23 18:01发表的  :
ls的tt不错。我这有一个叫vd防火墙的,拦截一切驱动加载,用这招fuck啦
它的貌似是EQ

Rank: 2

发表于 2009-4-23 21:05:57 |显示全部楼层
学习了!!!!!

Rank: 2

发表于 2009-4-23 22:10:47 |显示全部楼层
赞。
az还记得的话,KP的maillist我也提到过,其实很多驱动都有预留的Load接口。不过这些看起来现在并没有那么的好用和新奇,XP下想做个恶意的东西方法太多了。我觉得Vista下值得研究而且也正在研究,很烦。az支几招?

Rank: 3Rank: 3

发表于 2009-4-23 22:26:49 |显示全部楼层
很愿意,就是不知道能不能支上招。看来我要向ls学习的东西太多了。。膜拜

Rank: 9Rank: 9Rank: 9

发表于 2009-4-23 23:40:30 |显示全部楼层
学习。。。
悟空,退下,为师一个人就够了

Rank: 2

发表于 2009-4-24 12:03:33 |显示全部楼层
引用第16楼Azy于2009-04-23 19:26发表的  :
很愿意,就是不知道能不能支上招。看来我要向ls学习的东西太多了。。膜拜

学习啥?你放出来的东西比我多多了,俺们也只是嘴上说说,明显不值得学习。

Rank: 1

发表于 2009-4-24 15:12:41 |显示全部楼层
因此,要想有一个相对完美的进入ring0解决方案,最好是寻找别人不知道或者使用很少的方法,或者将上面的有缺陷的方法做一个综合,用多种方法通过判断情况来选择使用。我在这里有一个新的思路提供给大家,微软新公布了一部分文档,关于HotPatch的使用。HotPatch可以在执行中修改系统中存在的用户态公用dll的内容,甚至是修改内核模块的内容。具体代码和细节,在这里我不能多说。
您需要登录后才可以回帖 登录 | 立即加入

Archiver|手机版|第8个男人 - 论坛为只读模式,仅供查阅

GMT+8, 2019-7-21 23:49 , Processed in 0.039947 second(s), 11 queries .

Design by pvo.cn

© 2011 Pvo Inc.

回顶部