第5種進Ring 0 的方法！

發表時間: 2008-4-13 10:57 作者: Roger 來源: AVPClub Security Home

http://bbs.kafan.cn/viewthread.php?tid=233954

利用ms08025windows内核漏洞，运行程序后通过驱动层恢复ssdt，导致主防失败
原帖:http://hi.baidu.com/mj0011/blog/item/e59c2b87853b392fc65cc384.html

注意：

1.双核上可能BSOD

2.测试时发现VMWARE里用sgdt得到的GDT地址不正确~所以不要在虚拟机里测试，会蓝屏的

在真机上测

3.只用于测试，不得用于非法用途

--------------
HIPS：
EQ、COMODO，攔截成功

卡八2009 被過了！

沙箱：
EQ、SBIE 攔截成功！

[ 本帖最後由 Roger 於 2008-4-13 14:21 編輯 ]

xx.rar
(2008-04-13 10:57:49, Size: 5.52 kB, Downloads: 5)

我也來說兩句 查看全部評論相關評論

000110 (2008-4-13 13:47:19)

在虛擬機中執行, 按下"Done"就顯示藍畫面
似乎無法在虛擬機中執行
還是因為安裝了Microsoft 的漏洞更新

[ 本帖最後由 000110 於 2008-4-13 13:51 編輯 ]
andy (2008-4-13 14:42:52)

前4種進Ring 0 的方法卡巴 2009能攔不?
Roger (2008-4-13 15:42:36)

第4種，不確定，

不過5，就真的攔不住了
ㄚ一 (2008-4-13 16:53:42)

MJ0011其實說的沒有錯
有太多方法就可以繞過HIPS
也有RING 3不用提權就幹掉RING 0程式的例子
方法跟漏洞都是人想出來的
HIPS再強也無法防止所有系統漏洞造成的問題
000110 (2008-4-13 17:29:29)

334 pdm 預設 Operating system kernel modification 這選項是沒有啟用的
由於無法在vm下測試, 無法測試可否攔截第5種入ring 0
Roger (2008-4-13 17:36:15)

實機測吧！

重開機，就恢復原狀了
000110 (2008-4-13 18:08:01)

實機有很多重要檔案 (雖然被影響的機會不大)
另外, 就是不想安裝kis 2009到實機, 很多版本都會出問題, 但在vm下就沒事
ㄚ一 (2008-4-13 18:09:39)

可以用VirtualBox
很多在VMWare下不發作的威脅
在VBOX下沒有這個問題
kuririn (2008-4-13 18:22:30)

標題怪怪的
000110 (2008-4-13 18:55:40)

小弟的VirtualBox 使用VMware 的硬碟資料會無法進入windows
啟動VirtualBox後, 在bios畫面載入完成就停止操作
ㄚ一 (2008-4-13 19:08:06)

QUOTE:
原帖由 000110 於 2008-4-13 18:55 發表
小弟的VirtualBox 使用VMware 的硬碟資料會無法進入windows
啟動VirtualBox後, 在bios畫面載入完成就停止操作
可惜..

你應該只用windows吧？
VBox其實可以用VMWare的虛擬機
只是需要一些步驟，其實很麻煩
QUOTE:
1、卸載vmtools
2、用轉換vmware-vdiskmanager vm虛擬磁盤格式為一個文件,因為.vmdk文件是依2g大小分塊的
代碼:
vmware-vdiskmanager -r multipart.vmdk -t 0 flattened.vmdk

3、安裝qemu
4、用qemu將vmdk格式的文件轉為raw格式
代碼:
qemu-img convert flattened.vmdk -O raw rawfile.bin

5、下載vditool http://www.virtualbox.org/download/testcase/vditool
6、給足vditool權限
7、轉換raw格式到vdi格式
代碼:
LD_LIBRARY_PATH=/opt/VirtualBox* ./vditool DD vboximg.vdi rawfile.bin

8、寫個xml文件把你虛擬機的參數列進去
9、啟動你的vbox
000110 (2008-4-13 19:27:04)

QUOTE:
原帖由ㄚ一於 2008-4-13 19:08 發表

可惜..

你應該只用windows吧？
VBox其實可以用VMWare的虛擬機
只是需要一些步驟，其實很麻煩

真的很麻煩, 對小弟這個懶人, 如果要用Virtual Box 就重新安裝Windows, 來得更簡單

Virtual Box 佔的資源少VMware 很多
QUOTE:
原帖由 andy 於 2008-4-13 14:42 發表
前4種進Ring 0 的方法卡巴 2009能攔不?
第4種入Ring0 (http://www.avpclub.ddns.info/discuz/viewthread.php?tid=9468) 卡巴2009 8.0.0.334 好像也無法攔截 (手動設定d4[1].exe 為 Low Restriction )
即使3個生成物被卡巴自動放入Untrusted , SSDR 最終也被還原
ㄚ一 (2008-4-13 19:50:02)

這個確實過了
不過我晚一點會讓Kaspersky開發人員知道這件事
希望可以盡快修正！
ㄚ一 (2008-4-13 21:12:23)

QUOTE:
原帖由ㄚ一於 2008-4-13 19:50 發表
這個確實過了
不過我晚一點會讓Kaspersky開發人員知道這件事
希望可以盡快修正！
原來這是一個bug...
要測試樣本請退回使用8.0.0.329...
QUOTE:
yes, revert to 329 and try with that, the hips isn't working correctly in 334, the popups for trusted applications and some basic failures should indicate it.
[ 本帖最後由ㄚ一於 2008-4-13 21:15 編輯 ]
000110 (2008-4-13 21:20:05)

等新一版再測試

原來防止系統時間修改僅適用於商業金鑰
可能其他功能也將受key的限制
ㄚ一 (2008-4-14 17:28:11)

QUOTE:
原帖由 000110 於 2008-4-13 21:20 發表
等新一版再測試

原來防止系統時間修改僅適用於商業金鑰
可能其他功能也將受key的限制
RC1 8.0.0.324測試後正常
沒有被unhook ssdt

看來RC2目前這個版本是不可能出線的
domino (2008-4-21 08:12:42)

發布文章者請閱讀這篇.

http://hi.baidu.com/mj0011/blog/ ... e8b0e908fa93b8.html.

[ 本帖最後由 domino 於 2008-4-21 08:14 編輯 ]