第4種 進 Ring 0 的方法

發表時間: 2008-3-29 11:18    作者: Roger    來源: AVPClub Security Home

字體: 小 中 大 | 打印

我也來說兩句 查看全部評論 相關評論

• asusp4b533 (2008-3-29 11:37:22)

  看來現在要過HIPS只剩下Ring0
  要看是HIPS還是病毒比較深入系統核心
  
  如果微軟自己出HIPS 應該會非常強 因為系統核心的某些秘密只有他知道

• upside (2008-3-29 11:38:49)

  目前有方法 可以封鎖 SSDT 不被恢復嗎
  這個功能 最近被研究很大
  手邊也有這個源碼 雖然目前只能查看
  一旦被恢復 很多防軟都失效
  可比 IFEO 劫持更利害
  想研究如何保護此功能 不被更改

• Roger (2008-3-29 11:43:55)

  依照目前統計，需要4個方法：
  
  1.載入驅動
  2.存取實體記憶體
  3.監控系統除錯模式
  4.低階 寫 磁碟操作

• a750828 (2008-3-29 11:51:28)

  McAfee Generic.rootkit.d

• upside (2008-3-29 12:06:55)

  果然回歸到最後 還是要驅動級才能解決
  不過想一想 是否目前可以瀏覽SSDT
  不知道可否備份下來 雖然被恢復了
  但我們也可以還原回去
  這法 不知可否

• Roger (2008-3-29 12:32:36)

  也得先 砍掉病毒呀，
  
  不然，還原回來，病毒再恢復，就這樣一直循環

• upside (2008-3-29 13:01:34)

  嗯 除非病毒本身會一直監控 SSDT
  在IFEO 劫持我的作法是 先恢復它 再判斷是何種病毒
  若能手動刪除就去刪除它
  最後開啟防毒功能去全系統掃瞄
  
  依 SSDT 技術來說 雖是驅動級 若能找出該驅動檔
  先行刪除並注入疫苗方式 讓其無法執行
  
  現在 病毒技術越來越強 再搭配ROOTKIT 就很難去發現

• asusp4b533 (2008-3-29 13:01:40)

  總之 最後結論是
  想要碰到SSDT 還是要驅動級才行

• upside (2008-3-29 13:14:33)

  呵呵 要寫入或保護的話 可能還是需要使用到驅動
  這部份技術性很高 需要好好研究研究了
  
  對於 SSDT 還有很多不懂的地方
  還要請大家給予指教
  
  277        當前地址:0xF47963D0        內核模塊:C:\WINDOWS\system32\drivers\klif.sys
  真實地址:0x8058798B        IsHook:Yes        函數:NtWriteVirtualMemory
  
  上面那段是 分析出來的一段 應該是 卡巴斯基的驅動
  並且所調用的函數及其他位置資料
  
  比較不了解的是 那個 當前位置與真實位置 是固定還是變動
  如一般規則來判斷 真實位置應該是不變的 當前位置應是會變動
  所以在還原回去時 也要指定真實位置給它 否則可能無法運作
  這樣說法不知正不正確

• ㄚ一 (2008-3-29 13:16:46)

  等了10分鐘
  KAV的SSDT沒有被還原

• upside (2008-3-29 13:22:54)

  是實機還是虛擬機呢
  我那台測試機 目前另有作用 要晚點才能測
  KAV 沒有發報 有可疑檔案嗎
  
  剛稍微測一下 卡巴 有發報
  Trojan-Proxy.Win32.Wopla.ag
  
  [ 本帖最後由 upside 於 2008-3-29 13:25 編輯 ]

• ㄚ一 (2008-3-29 13:31:54)

  當然是關了引擎測試的
  在虛擬機下測試樣本
  我不可能用實機來測試
  
  我測過阻止以及不阻止兩種
  阻止後10分鐘內SSDT沒有被還原
  沒有阻止SSDT馬上被還原

• 挪威的冬天 (2008-3-29 16:57:40)

  有没有类似微点或者江民的用户
  
  这类杀毒软件每隔一段时间会自动重新挂 SSDT
  
  看看能否解决这类杀毒软件的 SSDT HOOK