驱动漏洞利用的另一种思路

最新推荐文章于 2024-06-13 09:53:17 发布
最新推荐文章于 2024-06-13 09:53:17 发布
阅读量670 收藏 1
点赞数
分类专栏: 免杀技术 文章标签: 其他
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/r250414958/article/details/123779816
版权

驱动漏洞利用的另一种思路

前言

之前在前面<cpu-z 驱动漏洞利用>中说了可以利用驱动漏洞绕过杀毒软件OBOperationRegistration保护获取进程的最高权限,下面这种又是一种新思路来绕过杀毒软件的保护

Kernel Callback Routines

当 Microsoft 在 2005 年推出内核补丁保护(PatchGuard)时,严重限制了杀毒软件和一些保护软件在驱动中使用内核hook(例如:sstdhook,IDTHook等等),虽然后续有InfinityHook与之对抗,不过后续微软都修补了这些问题,而且由于PatchGuard的存在,这种另辟蹊径的内核hook也不是100%稳定,如果造成蓝屏将会是非常致命的问题,但是微软给杀毒软件和一些保护软件提供了一种非常稳定的解决方案那就是Kernel Callback Routines,下面列出了一些WDK中记录的,还有一些没记录的

https://codemachine.com/articles/kernel_callback_functions.html

一般杀毒软件比较常用的是注册这些回调函数

PsSetLoadImageNotifyRoutine
PsSetCreateThreadNotifyRoutine
PsSetCreateProcessNotifyRoutine
CmRegisterCallbackEx
ObRegisterCallbacks

功能都可以查得到,我就不列出来了
直接说结论,如果我们能利用驱动漏洞将这些保护软件注册的回调函数从回调数组中删除,那这些保护软件的功能将如形同虚设,就不能阻止我们想做的任何事情了.

项目

https://github.com/lawiet47/STFUEDR

参考

https://br-sn.github.io/Removing-Kernel-Callbacks-Using-Signed-Drivers/

QQQqQqqqqrrrr
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
NVIDIA显卡驱动曝出多安全漏洞,部分Windows和Linux设备受到影响
systemino的博客
06-30 660
上周,科技巨头Nvidia发布了Nvidia GPU Display Driver中的多个安全漏洞的安全更新。这10个安全漏洞的CVSS 评分在5.5到7.8之间,影响的设备包括Windows和Linux机器。 漏洞分析 其中影响NVIDIA GPU显卡驱动的安全漏洞分别是: CVE‑2020‑5962 CVE‑2020‑5962漏洞位于驱动的Nvidia Control Panel组件中,奇热本地攻击者利用该漏洞可以破坏系统文件,引发DoS攻击或权限提升。 CVE‑2020‑5963 CVE‑
Red Team后漏洞利用秘籍:如何使用C#语言实现系统调用
systemino的博客
05-21 721
0x00 前言 在过去的一年中,安全社区(特别是红方运营团队和蓝方防御团队)持续关注Windows恶意软件如何实现后漏洞利用活动,以及如何绕过终端检测与响应(EDR)设备。 现在,对于某些防御人员来说,这种技术的使用还是比较陌生的,但对于攻击者来说却并非如此。许多年来,很多恶意软件作者、开发人员甚至是游戏破解者都在尝试利用系统调用和内存加载。其最初目标是绕过某些通过反病毒和反作弊引擎之类的工具来实现的限制和安全措施。 在一些文章中,已经介绍过如何...
驱动提取软件_注意!黑客现可利用Windows驱动程序漏洞关闭杀毒软件
weixin_39737831的博客
12-17 134
IT之家2月8日消息 据外媒报道,安全公司Sophos近日警告称,新型勒索软件目前已可以通过攻击技嘉驱动程序来入侵Windows系统并通过部署第二个驱动程序来禁用正在运行的杀毒软件。该勒索软件利用的是2018年在技嘉驱动程序中发现的安全漏洞,技嘉(Gigabyte)已确认该BUG的存在,后者允许恶意攻击者利用此漏洞来尝试访问设备并部署,目的是阻断杀毒软件等常规安全软件对PC的保护。该安全漏洞在CV...
探索驱动程序漏洞的利器:IOCTLance
最新发布
gitblog_00042的博客
06-13 360
探索驱动程序漏洞的利器:IOCTLance ioctlanceA tool that is used to hunt vulnerabilities in x64 WDM drivers项目地址:https://gitcode.com/gh_mirrors/io/ioctlance 在网络安全的世界里,发现并修复漏洞是持续进行的斗争。Windows Driver Model(WDM)驱动程序作为...
windows驱动程序基础_Windows平台内核的漏洞利用
weixin_32452447的博客
01-23 461
进攻清单#安全公告#KB#说明#操作系统 CVE-2020-0787[Windows后台智能传输服务特权提升漏洞](Windows 7/8/10,2008/2012/2016/2019)CVE-2020-0796[Microsoft Server Message Block 3.1.1(SMBv3)协议处理某些请求的方式中存在一个远程执行代码漏洞,也称为“ Windows SMBv...
cpu-z 驱动漏洞利用
r250414958的博客
03-26 838
cpu-z 驱动漏洞利用前言OBOperationRegistration参考项目 前言 其实这种利用大多数是用来做一些外挂的利用,但是我们可以转换思路来用来对抗杀毒软件的保护。 不只是cup-z有这种漏洞,技嘉,戴尔,华硕…等一些大厂都有这种漏洞,并且有些驱动签名还没有失效。 OBOperationRegistration 当某些软件使用openprocess打开了杀毒软件的进程的时候,会触发这个回调,对openprocess的句柄进行降权操作.使得我们无法使用TerminateProcess、Wri
windows内核驱动漏洞挖掘工具 - IOCTL Fuzzer
weixin_30786617的博客
01-30 279
IOCTL Fuzzer是一个自动化的windows内核驱动漏洞挖掘工具,它利用自己的驱动hook了NtDeviceIoControlFile, 目的是接管整个系统所有的IOCTL请求。当处理IOCTL请求时,一旦符合配置文件中定义的条件,IOCTL Fuzzer回用随机产生的fuzz数据去替换IOCTL的原始请求数据。IOCTL Fuzzer只替换输入数据并不会改变IOCTL数据包的其他数据。I...
Linux 安全预警:Linux 内核的 USB 驱动存在大量缺陷
weixin_34233421的博客
11-01 244
大众普遍认为,与 Windows 相比,Linux 和 macOS 操作系统具有更好的安全性。这个观点在大多数情况是成立的,但因此而不承认任何可能存在的攻击则显得不理性。最近,谷歌安全研究员 Andrey Konovalov 发现了一些 Linux 漏洞。 Konovalov 使用 Linux 内核模糊测试工具Syzkaller 发现了 Linu...
利用 ARM 核间调试漏洞获得 SoC 硬件最高权限(下)
niuchuangxinan的博客
02-07 320
Nailgun Attack 攻击具体的实验思路和步骤
驱动层拦截web访问源码 wimfilter
09-08
5. **安装与卸载**:驱动程序的安装和卸载是另一个需要注意的部分,通常需要使用INF文件和SetupAPI来完成。用户需要能够方便地安装和移除`wimfilter`,同时不会对系统造成影响。 学习和分析`wimfilter`源码,可以...
HEVD-Python-Solutions:用于HackSysTeam Extreme漏洞驱动程序的Python解决方案
05-04
HEVD-Python-解决方案 用于HackSysTeam Extreme漏洞驱动程序的Python解决方案
取自开源,分享于开源 —— 利用CVE-2017-8890漏洞ROOT天猫魔屏A1
god
05-12 3941
本来对阿里的东西挺有好感的,没想到这么一个东西就一个开机广告问题把我的好感败光了。 入手的时候根本没有什么开机广告,使用三个月之后一次系统更新就出现了开机广告。感情升级就是生个开机广告?果断投诉。 可是又如何呢?最多只是把我提到的“开机广告音量大,吓死人,还不可调节音量”修改了,开机广告还是存在。 就算是入手四五个月还是比较新的,直接拆了,然后扔一边,搬家的时候就当垃圾扔了。 什么阿里! 突然翻到之前的记录,躺着也是躺着,就分享下。 ...
从重大漏洞应急看云原生架构下的安全建设与安全运营(上)
YDclub的博客
01-24 4398
重大漏洞的应急响应总结与安全运营驱动的安全能力建设
内核漏洞利用技术
dengyao6547的博客
08-15 184
漏洞驱动exploitme.sys 在Ring3可以通过设备名称“\\.\ExploitMe”打开设备,得到设备句柄,进而使用DeviceIoControl函数调用驱动的派遣例程,与驱动进行交互。 输入、输出地址都是由Ring3程序指定,读写是在Ring0中完成。因此Ring3可以将输出缓冲区地址指定为内核高端地址,可以篡改内核中任意地址的数据。 内核漏洞利用思路 能够篡改系...
漏洞分析:MS14-058(CVE-2014-4113)
m0_64973256的博客
10-20 597
作者:selph漏洞分析:CVE-2014-4113漏洞介绍漏洞程序Microsoft Windows是美国微软(Microsoft)公司发布的一系列操作系统。win32k.sys是Windows子系统的内核部分,是一个内核模式设备驱动程序,它包含有窗口管理器、后台控制窗口和屏幕输出管理等。如果Windows内核模式驱动程序不正确地处理内存中的对象,则存在一个特权提升漏洞。成功利用此漏洞的攻击者可以运行内核模式中的任意代码。攻击者随后可安装程序;查看、更改或删除数据;
利用驱动漏洞
SHELLCODE_8BIT的博客
08-27 154
sbyt3/IObitUnlocker.Wrapper (github.com)
漏洞挖掘篇(进阶·上)
m0_57929980的博客
06-23 1593
漏洞挖掘篇(进阶·上):介绍程序切片技术及方法、程序插桩技术、Hook技术(包括消息Hook、API Hook)
某软件驱动任意地址写任意数据漏洞
深度技术安全
11-17 1176
感觉现在这种漏洞比较突出。METHOD_NEITHER中的输出buf为什么长度为0的时候要开发者自己去检查buf长度合不合理。 虽然没去看windows源码,但是,个人感觉一个正常的用户有两种情况: 1、buf长度为0,对应的驱动例程确实也没有输出 2、buf长度不为0,对应的驱动例程确实有输出。 当一个恶意的ring 3程序,朝2发DeviceIoControl(。。。,OutputBu
人工智能驱动的安全漏洞管理:挖掘、利用与修复
"这篇文章主要探讨了人工智能在安全漏洞领域的应用,包括漏洞挖掘、漏洞利用漏洞评估和漏洞修复。文章作者张玉清来自国家计算机网络入侵防范中心,并在CNCERT2018中国网络安全年会上发表了这一主题的演讲。通过对...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值