Kaspersky Flaw(2) --- 不正确校验用户空间指针

最新推荐文章于 2024-06-07 19:37:20 发布
最新推荐文章于 2024-06-07 19:37:20 发布
阅读量898 收藏
点赞数
分类专栏: 驱动程序文档 文章标签: c attributes access windows api x86
 

不正确校验用户空间指针

很多KAV安装的挂钩(包括KAV自定义的系统服务)都会因为操作系统的不同而出现问题。比如,在KAV修

改的NtOpenProcess函数中企图通过直接和硬编码的0x7FFF0000比较,来判断是否是用户空间地址。在

绝大部分x86 Windows系统上,用户空间地址的最大值都是0x7FFEFFFF。但是硬编码用户空间的最大值

并不是好办法。比如把Boot.ini中的启动参数设定为"/3GB",将把默认的虚拟内存空间由2GB内核空间和

2GB用户空间改变为1GB内核空间和3GB用户空间。因此安装有KAV的系统启动参数配置为/3GB,在调用

NtOpenAddress(比如Win32 API OpenProcess)的时候,如果参数的地址在用户空间的2GB以上,系统

就可能随机崩溃。

.text:F82237B0 ; NTSTATUS __stdcall KavNtOpenProcess(PHANDLE ProcessHandle,
ACCESS_MASK DesiredAccess, POBJECT_ATTRIBUTES ObjectAttributes,
PCLIENT_ID ClientId)
.text:F82237B0 KavNtOpenProcess proc near ; DATA XREF: sub_F82249D0+BFo
...
.text:F8223800 cmp eax, 7FFF0000h ; eax = ClientId
.text:F8223805 jbe short loc_F822380D
.text:F8223807
.text:F8223807 loc_F8223807: ; CODE XREF: KavNtOpenProcess+4Ej
.text:F8223807 call ds:ExRaiseAccessViolation

正确校验的方法是在SEH下使用公开函数ProbeForRead,在不正确的用户空间地址的时候,该函数将触

发一个Access异常。

此外,在很多KAV的自定义系统服务中都没有校验用户空间指针的正确性,这可能导致系统崩溃。
.text:F8222BE0 ; int __stdcall KAVService10(int,PVOID OutputBuffer,int)
.text:F8222BE0 KAVService10 proc near ; DATA XREF: .data:F8227D14o
.text:F8222BE0
.text:F8222BE0 arg_0 = dword ptr 4
.text:F8222BE0 OutputBuffer = dword ptr 8
.text:F8222BE0 arg_8 = dword ptr 0Ch
.text:F8222BE0
.text:F8222BE0 mov edx, [esp+OutputBuffer]
.text:F8222BE4 push esi
.text:F8222BE5 mov esi, [esp+4+arg_8]
.text:F8222BE9 lea ecx, [esp+4+arg_8]
.text:F8222BED push ecx ; int
.text:F8222BEE mov eax, [esi] ; 没有校验用户空间指针的正确性
.text:F8222BF0 mov [esp+8+arg_8], eax
.text:F8222BF4 push eax ; OutputBufferLength
.text:F8222BF5 mov eax, [esp+0Ch+arg_0]
.text:F8222BF9 push edx ; OutputBuffer
.text:F8222BFA push eax ; int
.text:F8222BFB call sub_F821F9A0 ; 本函数认为所有的传入指针都是正确的
.text:F8222C00 mov edx, [esi]
.text:F8222C02 mov ecx, [esp+4+arg_8]
.text:F8222C06 cmp ecx, edx
.text:F8222C08 jbe short loc_F8222C13
.text:F8222C0A mov eax, 0C0000173h
.text:F8222C0F pop esi
.text:F8222C10 retn 0Ch
.text:F8222C13 ; ------------------------------------------------------------------------

---
.text:F8222C13
.text:F8222C13 loc_F8222C13: ; CODE XREF: KAVService10+28j
.text:F8222C13 mov [esi], ecx
.text:F8222C15 pop esi
.text:F8222C16 retn 0Ch
.text:F8222C16 KAVService10 endp
.text:F8222C20 KAVService11 proc near ; DATA XREF: .data:F8227D18o
.text:F8222C20
.text:F8222C20 arg_0 = dword ptr 4
.text:F8222C20 arg_4 = dword ptr 8
.text:F8222C20 arg_8 = dword ptr 0Ch
.text:F8222C20
.text:F8222C20 mov edx, [esp+arg_4]
.text:F8222C24 push esi
.text:F8222C25 mov esi, [esp+4+arg_8]
.text:F8222C29 lea ecx, [esp+4+arg_8]
.text:F8222C2D push ecx
.text:F8222C2E mov eax, [esi] ; 没有校验用户空间指针的正确性
.text:F8222C30 mov [esp+8+arg_8], eax
.text:F8222C34 push eax
.text:F8222C35 mov eax, [esp+0Ch+arg_0]
.text:F8222C39 push edx
.text:F8222C3A push eax
.text:F8222C3B call sub_F8214CE0 ; 本函数认为所有的传入指针都是正确的
.text:F8222C40 test eax, eax
.text:F8222C42 jnz short loc_F8222C59
.text:F8222C44 mov ecx, [esp+4+arg_8]
.text:F8222C48 mov edx, [esi]
.text:F8222C4A cmp ecx, edx
.text:F8222C4C jbe short loc_F8222C57
.text:F8222C4E mov eax, STATUS_INVALID_BLOCK_LENGTH
.text:F8222C53 pop esi
.text:F8222C54 retn 0Ch
.text:F8222C57 ; ------------------------------------------------------------------------

---
.text:F8222C57
.text:F8222C57 loc_F8222C57: ; CODE XREF: KAVService11+2Cj
.text:F8222C57 mov [esi], ecx
.text:F8222C59
.text:F8222C59 loc_F8222C59: ; CODE XREF: KAVService11+22j
.text:F8222C59 pop esi
.text:F8222C5A retn 0Ch
.text:F8222C5A KAVService11 endp

Kaspersky Flaw的都是翻译自Skywing的"What Were They Thinking? Anti-Virus Software Gone

Wrong",只对其中关于Kaspersky的部分进行翻译。
 

cattom
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Kaspersky Flaw(4) -- 不正确校验内核对象类型
08-10 957
正确校验内核对象类型Windows通过一系列的"内核对象"来揭示很多内核特性。这些内核对象在用户模式下被包装为句柄。这些句柄本身是整数值,在内核模式下被转换为指向内核对象的指针,用来和内核函数进行通信(尤其是系统服务)。所有的内核对象都是使用共同的句柄空间。由于这个句柄空间被不同类型的内核对象所共享,系统服务的一个任务就是校验句柄是否指向正确的类别。校验是通过对象管理器中ObRefer
Kaspersky Flaw(3) --- 隐藏用户空间线程
08-08 948
 隐藏用户空间线程KAV错误使用系统服务挂钩不仅是对NtOpenProcess。另外一个被KAV挂钩的系统服务是NtQuerySystemInfomation,在接收到SystemProcessAndThreads类别调用的时候,挂钩函数将截掉某些特定进程的线程列表。这将影响从用户空间获取应用程序进程的线程列表。使用这种技术令人费解,因为对用户空间隐藏线程都是和Rootkit联
Microsoft Remote Procedure Call Runtime 远程代码执行漏洞(CVE-2022-26809)
LiBai'S BLOG
05-12 6103
CVE-2022-26809 RCE CVE 描述 CVE-2022-26809 - 核心 Windows 组件 (RPC) 的弱点获得 9.8 的 CVSS 分数并非没有原因,因为攻击不需要身份验证并且可以通过网络远程执行,并且可能导致远程代码执行 ( RCE) 具有 RPC 服务的权限,这取决于托管 RPC 运行时的进程。运气好的话,这个严重的错误允许访问运行 SMB 的未打补丁的 Windows 主机。该漏洞既可以从网络外部被利用以破坏它,也可以在网络中的机器之间被利用。 https://msrc
BUUCTF Misc Page2-6部分题目
热门推荐
cuihua的博客
07-15 7万+
BUUCTF Misc Page2-6部分题目
【免杀】C2远控-shellcode分离-python
最新发布
qq_55349490的博客
06-07 1108
因此可以在cs的shellcode调用sleep休眠将可执行内存区域加密,在休眠结束时再将内存解密来规避杀软内存扫描达到免杀的目的。除了用base64方式加密外,也可以尝试用文件读取的方式进行加密,二者代码差不多,只不过是把加载器的加密代码放到文件里面罢了。常用的打包有三种3打包器。除了以上的方式,还有很多种加密,可以自己发挥想象进行加密,如也可以通过远程文件读取加载器代码进行加密。既然会检测加载器代码,那我们将加载器代码加密不就可以防止其检测了吗。你加密混淆分离,最后还是会回归原来的代码并被执行。
apt-get 安装卸载,wget下载,hg clone克隆
hebbely的博客
12-28 5890
apt-get install xxxx 安装 apt-get remove xxxx 卸载但不删除配置 apt-get purge xxxx 卸载并且删除相关配置 从网络下载一个文件并保存在当前目录 wget http://cn.wordpress.org/wordpress-3.1-zh_CN.zip hg clone :克隆 $ hg clone http://www.selenic.com/repo/hello my-hello 成功运行后,当前目录下发现一个目录叫 my-hello
c4d计算机丢失api-ms,遭遇 mssvc.exe svcUpdate.exe IESeven.dll DBSeven.dll病毒第2/3页
weixin_29214559的博客
07-24 393
遭遇 mssvc.exe svcUpdate.exe IESeven.dll DBSeven.dll病毒第2/3页更新时间:2007年07月22日 00:00:00 作者:这是什么病毒或恶意软件,文件名为msd.exe,卡巴斯基或360不能认定它是病毒或木马?帖子标题:这是什么病毒或恶意软件,文件名为msd.exe,卡巴斯基或360不能认定它是病毒或木马?帖子内容:现象:历史操作:从网上下载了...
Kaspersky Flaw(6) -- 允许用户模式代码操作内核内存
08-12 1127
允许用户模式代码操作内核内存现代操作系统的一条重要原则是内核与用户模式的分离,不允许用户模式代码直接操作内核空间内存.这条原则对保证系统的稳定性非常必要,比如阻止有错误的用户模式程序破坏内核并导致系统崩溃。可是KAV程序员并不认为这种分离原则很重要。KAV一个非常奇怪的不安全实现是让用户模式可以直接调用其内核驱动的部分函数,而不是采用加载用户模式DLL,或者加载用户模式代码到目标进程的方式。这
信息收集----浏览器,网络空间搜索引擎
qq_44418229的博客
05-02 2504
主要是拓展知识面,了解哪些产商提供了收集资产的服务 学会搜索的语法
Kaspersky-Trial-Reseter-2015.rar_As One
07-13
A text file (sometimes spelled textfile : an old alternative name is flatfile ) is a kind of computer file that is structured as a sequence of lines of electronic text. A text file exists within a ...
Kaspersky-Security-Center设置
05-25
Kaspersky Security Center(简称KSC)是一款功能强大的安全管理系统,旨在帮助企业级用户管理和监控其网络中的安全状况。通过KSC,管理员可以集中管理安装在各个终端上的Kaspersky Endpoint Security产品,包括更新...
Kaspersky Anti-Virus Update 2013.02.19.zip
07-14
AVP是俄罗斯软件公司的产品,是一个在国外评价极高杀毒软件。它也有常驻于System Tray的自动监视功能,可帮你自动监视从磁盘、网路上、E-mail 夹档中开启文件的安全性,亦有鼠标右键的快速选单,还附有 LiveUpdate ...
Kaspersky Anti-Virus v7.0.0.321
10-30
Kaspersky(卡巴斯基)杀毒软件来源于俄罗斯,是世界上最优秀、最顶级的网络杀毒软件,查杀病毒性能远高于同类产品。Kaspersky(卡巴斯基)杀毒软件具有超强的中心管理和杀毒能力,能真正实现带毒杀毒!提供了一个广泛的...
Kaspersky Anti-Virus Personal Pro v5.0.676
03-14
Kaspersky 为任何形式的个体和社团提供了一个广泛的抗病毒解决方案。它提供了所有类型的抗病毒防护:抗病毒扫描仪,监控器,行为阻段和完全检验。它支持几乎是所有的普通操作系统、e-mail 通路和防火墙,控制所有...
K8s 很难么?带你从头到尾捋一遍,不信你学不会
民工哥的博客
02-23 9026
点击关注公众号,回复“1024”获取2TB学习资源!为什么要学习 Kubernetes?虽然 Docker 已经很强大了,但是在实际使用上还是有诸多不便,比如集群管理、资源调度、文件管理等...
10天智能锁项目实战第1天(了解单片机STM32F401RET6和C语言基础)
北豼不太皮的博客
02-21 3574
10天智能锁项目实战第1天(了解单片机STM32F401RET6和C语言基础)一、学习目标二、了解单片机STM32F401RET6三、C语言基础 一、学习目标 二、了解单片机STM32F401RET6 4、STM32F401RE特征 三、C语言基础 1.数据类型 常用2的次方: 2^7 = 128 2^8 = 256 2^15 = 32768 2^16= 65536 51单片机常见的数据类型: char: 占内存1字节 取值范围:-128~127 -2^7 ~ 2
Android开发(1) | Fragment 的应用——新闻应用
Jormungand_V的博客
02-21 7084
文章目录 news_item.xml: <TextView xmlns:android="http://schemas.android.com/apk/res/android" android:id="@+id/news_title" android:layout_width="match_parent" android:layout_height="wrap_content" android:lines="1" android:ellipsize="
系统学习 TypeScript(四)——变量声明的初步学习
编程三昧
02-25 1727
认识了 TypeScript 中的基础类型,接下来当然是变量声明的相关学习了,我在这里记录一下我学习过程中的一些总结。
"2022年Kaspersky EP10新产品及服务介绍
在购买Kaspersky Endpoint Security for Business时,用户可以按需选择不同的控制工具和平台。根据具体需求,用户可以灵活购买相应的组件,以确保最佳的安全和成本效益。此外,用户还可以根据企业规模和实际需求购买...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值