http://bbs.kafan.cn/viewthread.php?tid=233954

利用ms08025windows内核漏洞，运行程序后通过驱动层恢复ssdt，导致主防失败
原帖:http://hi.baidu.com/mj0011/blog/item/e59c2b87853b392fc65cc384.html

注意：

1.双核上可能BSOD

2.测试时发现VMWARE里用sgdt得到的GDT地址不正确~所以不要在虚拟机里测试，会蓝屏的

在真机上测

3.只用于测试，不得用于非法用途

--------------
HIPS：
EQ、COMODO，攔截成功

卡八2009 被過了！

沙箱：
EQ、SBIE 攔截成功！

[ 本帖最後由 Roger 於 2008-4-13 14:21 編輯 ]

在虛擬機中執行, 按下"Done"就顯示藍畫面
似乎無法在虛擬機中執行
還是因為安裝了Microsoft 的漏洞更新

[ 本帖最後由 000110 於 2008-4-13 13:51 編輯 ]

前4種 進Ring 0 的方法 卡巴 2009能攔不?

第4種，不確定，

不過5，就真的攔不住了

MJ0011其實說的沒有錯
有太多方法就可以繞過HIPS
也有RING 3不用提權就幹掉RING 0程式的例子
方法跟漏洞都是人想出來的
HIPS再強也無法防止所有系統漏洞造成的問題

334 pdm 預設 Operating system kernel modification 這選項是沒有啟用的
由於無法在vm下測試, 無法測試可否攔截第5種 入ring 0

實機測吧！

重開機，就恢復原狀了

實機有很多重要檔案 (雖然被影響的機會不大)
另外, 就是不想安裝kis 2009到實機, 很多版本都會出問題, 但在vm下就沒事

可以用VirtualBox
很多在VMWare下不發作的威脅
在VBOX下沒有這個問題

標題怪怪的

小弟的VirtualBox 使用VMware 的硬碟資料會無法進入windows
啟動VirtualBox後, 在bios畫面載入完成就停止操作

引用:

原帖由 000110 於 2008-4-13 18:55 發表
小弟的VirtualBox 使用VMware 的硬碟資料會無法進入windows
啟動VirtualBox後, 在bios畫面載入完成就停止操作

可惜..

你應該只用windows吧？
VBox其實可以用VMWare的虛擬機
只是需要一些步驟，其實很麻煩

引用:

1、卸載vmtools
2、用 轉換vmware-vdiskmanager vm虛擬磁盤格式為一個文件,因為.vmdk文件是依2g大小分塊的
代碼:
vmware-vdiskmanager -r multipart.vmdk -t 0 flattened.vmdk

3、安裝qemu
4、用qemu將vmdk格式的文件轉為raw格式
代碼:
qemu-img convert flattened.vmdk -O raw rawfile.bin

5、下載vditool http://www.virtualbox.org/download/testcase/vditool
6、給足vditool權限
7、轉換raw格式到vdi格式
代碼:
LD_LIBRARY_PATH=/opt/VirtualBox* ./vditool DD vboximg.vdi rawfile.bin

8、寫個xml文件把你虛擬機的參數列進去
9、啟動你的vbox

引用:

原帖由 ㄚ一 於 2008-4-13 19:08 發表

可惜..

你應該只用windows吧？
VBox其實可以用VMWare的虛擬機
只是需要一些步驟，其實很麻煩

真的很麻煩, 對小弟這個懶人, 如果要用Virtual Box 就重新安裝Windows, 來得更簡單

Virtual Box 佔的資源少VMware 很多

引用:

原帖由 andy 於 2008-4-13 14:42 發表
前4種 進Ring 0 的方法 卡巴 2009能攔不?

第4種入Ring0 (http://www.avpclub.ddns.info/discuz/viewthread.php?tid=9468) 卡巴2009 8.0.0.334 好像也無法攔截 (手動設定d4[1].exe 為 Low Restriction )
即使3個生成物被卡巴自動放入Untrusted , SSDR 最終也被還原

這個確實過了
不過我晚一點會讓Kaspersky開發人員知道這件事
希望可以盡快修正！

引用:

原帖由 ㄚ一 於 2008-4-13 19:50 發表
這個確實過了
不過我晚一點會讓Kaspersky開發人員知道這件事
希望可以盡快修正！

原來這是一個bug...
要測試樣本請退回使用8.0.0.329...

引用:

yes, revert to 329 and try with that, the hips isn't working correctly in 334, the popups for trusted applications and some basic failures should indicate it.

[ 本帖最後由 ㄚ一 於 2008-4-13 21:15 編輯 ]

等新一版再測試

原來防止系統時間修改僅適用於商業金鑰
可能其他功能也將受key的限制

引用:

原帖由 000110 於 2008-4-13 21:20 發表
等新一版再測試

原來防止系統時間修改僅適用於商業金鑰
可能其他功能也將受key的限制

RC1 8.0.0.324測試後正常
沒有被unhook ssdt

看來RC2目前這個版本是不可能出線的

發布文章者請閱讀這篇.

http://hi.baidu.com/mj0011/blog/ ... e8b0e908fa93b8.html.

[ 本帖最後由 domino 於 2008-4-21 08:14 編輯 ]