Kaspersky杀毒软件klif.sys权限提升漏洞

最新推荐文章于 2012-05-07 17:08:11 发布
最新推荐文章于 2012-05-07 17:08:11 发布
阅读量2.3k 收藏
点赞数
分类专栏: 技术文章 Security Focus 文章标签: 杀毒软件 buffer null microsoft exception function
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/AloneSword/article/details/769171
版权
本文详细介绍了Kaspersky杀毒软件在Microsoft Windows 2000平台上存在的一个权限提升漏洞,该漏洞源于klif.sys内核驱动没有正确处理权限,允许本地攻击者以系统内核权限执行任意代码。文章提供了漏洞描述、测试方法以及安全建议,并提醒用户关注厂商主页获取更新以修复此问题。
摘要由CSDN通过智能技术生成
受影响系统:
Kaspersky Labs Kaspersky Antivirus 5.0.335
Kaspersky Labs Kaspersky Antivirus 5.0.228
Kaspersky Labs Kaspersky Antivirus 5.0.227
描述:
--------------------------------------------------------------------------------


Kaspersky是一款非常流行的杀毒软件。

Microsoft Windows 2000平台的Kaspersky软件设计上存在漏洞,本地攻击者可能利用此漏洞提升自己的权限。

起因是Kaspersky内核驱动klif.sys没有正确丢弃高权限,攻击者可能利用这个漏洞以系统内核的权限执行任意代码。

<*来源:Ilya Rabinovich (info@softsphere.com
  
  链接:http://marc.theaimsgroup.com/?l= ... 17777430401&w=2
*>

测试方法:
--------------------------------------------------------------------------------

警 告

以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!

//(C) by Ilya Rabinovich.

#include <windows.h>

PUCHAR pCodeBase=(PUCHAR)0xBE9372C0;

PDWORD pJmpAddress=(PDWORD)0xBE93
最低0.47元/天 解锁文章
孤剑
关注
专栏目录
【原创】卡巴斯基 Klif.sys 启动蓝屏的原因探求
SuperWang√笑傲江湖 Java/C#
04-13 1071
从4月份开始,自己装了新机器Intel I5-750 处理器,操作系统为WIN7,配的杀毒软件为卡巴斯基2010 (KIS),版本号为:9.0.0.736 注意:咱可是直接在卡巴斯基官方网站直接下载的哦,结果到了4月份,WIN7启动后 还没有到桌面就 蓝屏了!心想刚配的新机器就出现了兼容问题么?赶紧去看看C:\Windows\Minidump下的文档,用WinDbg软件来查看相关信息,结果出现了这...
MasterHide:MasterHide x64 Rootkit
04-01
隐藏大师 MasterHide是一个x64 Windows驱动程序,使用SSDT / Shadow SSDT挂钩创建,用于监视/隐藏或阻止对进程,对象,文件(无论您想要什么,您的想象力是这里的限制)的访问。 它还可以操纵另一个驱动程序(klhk.sys),该驱动程序的最初思想和实现来自 ,我在编写此文件时使用的是最新提交的子模块。 卡巴斯基挂钩 此技术修改了klhk.sys,又称为“ Kaspersky Lab服务驱动程序”。 该驱动程序是防病毒的合法驱动程序,可以在找到更多信息。 最初的目的是监视系统上的恶意软件行为,其主要目标不是绕过防病毒或防盗解决方案,而是可以执行此操作。 兼容性 让我们称之为“卡巴斯基挂钩”的所有修改klhk.sys可以完成的工作好吗? 设置USE_KASPERSKY定义USE_KASPERSKY ,项目将使用与Windows USE_KASPERSKY /
Kaspersky Internet Security驱动溢出漏洞
04-11 893
Kaspersky Internet Security套件是一套完整的解决方案,用以保护计算机抵御几乎所有来自互联网的主要的威胁。Kaspersky Internet Security的klif.sys驱动实现上存在漏洞,本地攻击者可能利用此漏洞导致内核破坏。Internet Security套件的klif.sys驱动hook了各种系统调用,如注册表函数,其中hook的_NtSetValueKey
KasperskyHook:使用卡巴斯基的虚拟机管理程序在Windows上执行Hook系统调用
03-17
卡巴斯基挂钩 使用卡巴斯基的虚拟机管理程序在Windows上执行Hook系统调用 它是如何工作的? 当支持硬件虚拟化以提供额外保护时,卡巴斯基将利用其虚拟机监控程序。 它通过更改IA32_LSTAR指向其自己的syscall处理程序(基本上是KiSystemCall64的副本)来挂接系统调用,以便将系统调用分派到其自己的处理程序(在进行初始化时,它会构建自己的分派表)。 该项目将加载klhk.sys(卡巴斯基的虚拟机管理程序模块)和与之连接的自定义驱动程序,以颠覆系统并挂接系统调用。 你为什么写这个? 在研究卡巴斯基组件时,我认为编写一个自定义项目是一个有趣的主意,该项目使我可以使用卡巴斯基的虚拟机管理程序来挂接系统调用,以更仔细地了解其功能。 构建步骤-如何使用它 下载 , ,克隆此存储库并构建解决方案。 确保KasperskyHook.sys和KasperskyHookLoad
Kaspersky6.rar_卡巴_卡巴斯基_杀毒_杀毒软件
07-14
卡巴斯基6.0可升级很实用(杀毒软件)决对正宗
2010年世界杀毒软件排名.pdf
10-02
杀毒软件排名概述】 2010年的世界杀毒软件排名主要由两个榜单构成,一是基于PC World与AV-Test.org的评测结果,二是由toptenreviews根据性价比进行的排名。这两个榜单反映了当时市场上主流杀毒软件的性能和用户...
Kaspersky Reset Trial CLUB 2.1.2.69
11-09
这是卡巴斯基杀毒软件的专用激活程序。 支持的软件: • Kaspersky Antivirus 2012 • Kaspersky Antivirus 2013 • Kaspersky Antivirus 2014 • Kaspersky Antivirus 2015 • Kaspersky Antivirus 2016 • ...
驱动程序保护进程(修改SSDT方式)源码
07-10
typedef NTSTATUS (*ZWOPENPROCESS)( OUT PHANDLE ProcessHandle, IN ACCESS_MASK DesiredAccess, IN POBJECT_ATTRIBUTES ObjectAttributes, IN PCLIENT_ID ClientId ); NTSYSAPI NTSTATUS NTAPI ZwOpenProcess ( OUT PHANDLE ProcessHandle, IN ACCESS_MASK DesiredAccess, IN POBJECT_ATTRIBUTES ObjectAttributes, IN PCLIENT_ID ClientId ); ZWOPENPROCESS OldZwOpenProcess; NTSTATUS NewZwOpenProcess ( OUT PHANDLE ProcessHandle, IN ACCESS_MASK DesiredAccess, IN POBJECT_ATTRIBUTES ObjectAttributes, IN PCLIENT_ID ClientId ) { NTSTATUS ntStatus; ntStatus = ((ZWOPENPROCESS)(OldZwOpenProcess)) ( ProcessHandle, DesiredAccess, ObjectAttributes, ClientId ); if(ClientId->UniqueProcess == (HANDLE)ulPID) *ProcessHandle = NULL; return ntStatus; }
Anti-Screen Capture(Prevent Screen Captures)截屏与反截屏
Koma的主页
05-07 7865
1.数字图片使用类似与动画的方式显示,每次显示的是数字的一部分,当动态显示的时候人眼是可以分辨出具体数字的。但是截图的话就只能截取一部分,参考: cups.cs.cmu.edu/soups/2007/posters/p147_lim.pdf 2.屏蔽系统按键:Print Screen 和 Alt + Print Screen,主要原理是注册热键的方式,参考: http://www.v
dvbbs7.1sp1最新漏洞的研究和利用
孤剑之家
06-05 5151
[怪狗] 发表于2006-05-12 00:02
还我IE自由
孤剑之家
10-16 4869
作者:孤剑Copyright 2004 © AloneSword       今天早上来,准备好好的做作东西,刚刚打开IE,就出现了http://7mao.com(该网址大家最好不好进入)。纳闷了,我的机器时重来不设置主页的,白白的东西多么清爽阿!怎么能这样了!立马感觉不对经,果不然,IE被劫持了!        所有IE启动页面都被倒入到该网站去了,虽然没有什么大妨碍,但是自己还是喜欢IE清爽的
黑客——技术的凝聚者???
孤剑之家
10-17 4136
(申明:孤剑不是hack,也不愿意做hack,只是技术的追求者;同时孤剑不认识WinKy)写在前面:       不知道在中国,有多少人能真正的理解什么是hack,当hack被加上商业的成分就失去了本来的色彩,如今多如繁星的大小类黑客站点如雨后春笋般出现,不过是否有技术,统统叫hack,拿着别人的工具去砍掉几个站点就说自己是黑客。每每看到这些心就痛一次,不知道是谁之过错?也许这篇文章才能找
Security Update for JPEG Processing
孤剑之家
09-15 3345
There  Security Update is for JPEG processing.If your computer install Windows xp blow SP2 ,youd better use Microsoft update to Update your software.You will get more information :https://www.micro
杀毒软件推荐
孤剑之家
06-02 2980
好多同学问我用什么杀毒软件好,我就个人的喜好是使用经验来说说!一、国内1、瑞星。虽说是国产的,但是技术方面还是欠缺了一些,很多木马病毒换个马甲就不认识了。2、金山。国内的杀毒软件中,我觉得它可能是小弟,因为它本身就不是做杀毒市场的。3、江民。也许是国内第一的。虽然现在它不是被大多数人知道,但是技术方面来说,我个人高技术的,感觉它是细微不致的,特别是bootscan技术,更是国内一流
一觉醒来世界变了。Collisions for Hash Functions MD4, MD5, HAVAL-128 and RIPEMD.
孤剑之家
08-24 2489
安全焦点的讨论:https://www.xfocus.net/bbs/index.php?act=ST&f=2&t=39807个人理解:1.首先破解这个东西对硬件要求比较高,一般的人是不能达到的.“在IBM P690主机上”,光这个ibm p690现在还不是普通用户的工具;2。该算法只是说重新得到一个m‘,n’与你原先的m,n通过一些算法后可以得到相同的hash,失去了md5的算法
Microsoft 紧急安全公告(2004 年 10 月)
孤剑之家
10-14 2295
Microsoft 中文公告地址:http://www.microsoft.com/china/technet/security/bulletin/ms04-oct.mspxMicrosoft 安全公告摘要(2004 年 10 月)发布日期:2004 年 10 月 12 日版本号: 1.0可通过访问以下 Web 站点,获取此信息的最终用户版本。保护您的 PC:Microsoft
XP SP2 发现两处安全漏洞
孤剑之家
08-20 1820
晕死,sp2出问题了。正在焦急Microsoft发布正式版本的sp2,所以随处看看,没有想到。。。。哎!没曾想看到了这样的消息!上周,德国的Heise安全公司宣布,他们已经发现Windows XP SP2服务包中存在的两个漏洞,这两个漏洞可以被电脑入侵者用来运行可执行文件。 第一个漏洞:一般说来,微软的IE浏览器将文件分为几个安全级别,称为ZONE ID,凡是从网上来的文件都被定为3级,IE不
2009年TopTenReviews全球杀毒软件排名:BitDefender蝉联榜首
"2010年,TopTenReviews网站发布了全球杀毒软件的年度排名,列出了前20位的知名杀毒软件。这个排行榜更注重软件的全面性,包括功能、价格和售后服务,而非单一的查杀能力。在这个榜单中,BitDefender Antivirus 2010...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值