注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

mie

 
 
 

日志

 
 

尝试绕过杀毒软件的主动防御,实现ring0层dll注入(4)  

2011-09-17 01:03:12|  分类: sr |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

尝试绕过杀毒软件的主动防御,实现ring0层dll注入(3)

http://zhanyonhu.blog.163.com/blog/static/1618604420116131050169/

 

 2011.09.17
        关于这个问题,我已经花了很多时间。从去年11月底开始,无意中遇到这个问题,到后来绞尽脑汁去解决,几次以为解决了问题,却都是空欢喜一场。
        此前,我曾想到过一种技术,估计可以绕过Windows操作系统的DEP数据执行保护。然而,对这个技术领域,我不太熟悉,所以,我一直在等待这样的机会。大约三四个星期前,本人从朋友那儿拿到了这方面的技术资料和源代码。这意味着,新的尝试所需要的条件都已经完备。另外,最近心情不太好,也确实需要玩点有难度的来调节一下。
        嗯,大约要等到十一假期期间开工。

        Windows自xp sp2启用DEP数据执行保护之后,确实给一些特殊的技术工作者们带来了一些麻烦,但是,似乎他们都有应对的办法。而我这里,因为dll注入的时间不太好,所以,麻烦多一些。
        前次,万般无奈之下,我试图通过修改内存页表的保护位来解决问题,但是,在我重新浏览《操作系统原理》之后,我认为,可能还得修改CPU的快表。不但如此,可能还得修改内存页表的“脏数据”(dirty)位,以便防止系统在内存换页时,保存修改后的页面数据。如果本人的推测没错的话,这种保存“脏数据”的操作会触发DEP!——假设我来设计这样的保护机制,我必定会在这里加上一道“门”,因为这里是修改内存数据的必经之地,在这里设置关卡,有“一夫当关、万夫莫开”的效果!如此一劳永逸的方法,不用实在可惜,也许,windows的设计师们很可能也是这样想的。

——其实吧,我还在想,如果实在过不了DEP,也没有关系。至少,在关闭DEP的情况下,是可以注入到除csrss之外的任何进程的,那么,它自然可以用来过游戏反外挂系统(如:NP等)了!而外挂一般都会告知用户关闭DEP再运行!如此一来,hoho,将它卖给外挂开发者,也可以将其,,。

 2011.09.27
        现在担忧的是,这种方法究竟是否可行?我仔细想了一下,可能现在的技术点有:(1)它必须突破硬件DEP;(2)必须突破软件DEP;(3)必须突破数字签名。

 也就是,和之前又有不同了。之前,过session隔离,无论是ring3还是ring0,只要有了管理员权限,基本上都不难;过杀软主防,也有多种方法,我挑了一个兼容性最好的实现了;过DEP,这个比较麻烦。而现在,还可能不得不和数字签名较量。据说,自Vista开始,Windows加强了数字签名认证机制,本人还未能有幸去感受一下其强大。
        而反过来,一旦和数字签名较量,可能又得和杀软的其他安全模块厮杀,这又是头疼的事情!——先试了再说。

 2011.09.28
        天天东奔西跑,也挺累的。
        今天”模拟“开发,其实也就是在脑中重新想想,检查是否有技术上遗漏的技术难点。也因此有了两个坏消息、一个好消息。好消息就是,我可以将目前的新思路和之前的shellcode结合,从而,基本上作很少改动即可完成。
        坏消息1:
        新思路可以无法突破数字签名,基本上是80%的可能会被数字签名认证机制拦截。
        坏消息2:
        新思路可能和Windows的另外一个机制冲突,从而,新的思路根本无法起作用!这个可能性10%,我相信我的看法还是正确的。
        为了保险起见,我必须首先去进一步深入了解Windows数字签名的实现机制,从而为后面的工作扫清障碍。

 2011.09.29
        TCP/IP四层网络模型是哪四层?看到这个题目,我真的很无语。这是考计算机二级呢?还是招开发啊?搅得我很疲惫!
        有意从事游戏辅助软件开发和sf等特殊领域的,并且需要技术加入的,欢迎与本人联系,可直接给我留言或者Email,合作愉快。

        根据本人的进一步分析,数字签名机制可被轻松绕过!这就意味着,目前的技术思路基本上是100%可行!哈哈,如此一来, 这个总算是有个好的结局。——希望半路别又杀出一条拦路虎,那样的话,我可真招架不住了。

尝试绕过session隔离、杀毒软件的主动防御、Windows DEP数据执行保护、数字签名认证等机制,实现ring0层dll注入(5)   http://zhanyonhu.blog.163.com/blog/static/1618604420119183720324/

By:zhanyonhu

  评论这张
 
阅读(1592)| 评论(2)
推荐 转载

历史上的今天

在LOFTER的更多文章

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2016