注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

mie

 
 
 

日志

 
 

尝试绕过session隔离、杀毒软件的主动防御、Windows DEP数据执行保护、数字签名认证等机制,实现ring0层注入dll到用户态(ring3)进程(5)  

2011-10-01 20:37:20|  分类: sr |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

尝试绕过杀毒软件的主动防御,实现ring0层dll注入(4)  

http://zhanyonhu.blog.163.com/blog/static/16186044201181704732294/

2011.10.01

    越来越对自己很无奈,很多时候,明明自己会,或者知道,却总是说"不知道、不太清楚",只因为没有十成的把握。显然,这种性格不改,什么事儿都做不成,因为,""很重要,甚至比""更重要。

    此次,我基本上确信,过主防等的dll注入必定成功!所以,本人在此说明一下,如果哪位有意获得此技术,可以与本人联系预订(博客留言、邮件zhanyonhu#163.com)。当然,能够看到这个的,基本上都是正在研究、或者想实现类似功能的朋友。

    我觉得,这个的象征意义远大于它的实用价值,试想,如果贵公司的产品能够穿透杀软主防和WindowsDEP数据执行保护,其意义之大,不可估量。同时,本人还可能将在里面使用一种可以突破Windows数字签名保护机制的技术!

    另外,这个也提供了一种新的方法或思路,如果把这个方法用在其他地方,也会有很好的效果。所以,如果单单是想dll注入或者过NP注入,不必使用本技术。我希望这次这个可以卖个好价钱,包括源码和版权。

    ——此技术没有权限提升的功能。必须在获得管理员权限的前提下安装软件,然后软件(驱动)将在系统每次重启之后,将特定的dll注入到smss之外的、几乎所有的用户态进程。因使用的技术方法所制约,软件必须重启后才能生效。

    本次供最终测试的windows系统平台如下:

    32位系统(x86)
Windows 2000
原版
Windows 2000 sp4
Windows Xp
原版
Windows XP sp2
Windows XP sp3
Windows 2003
原版
Windows 2003 sp1
Windows 2003 sp2
Windows Vista 
原版
Windows Vista  sp1
Windows 7
测试版 (7000)
Windows 7 rc1 (7100)
Windows 7 sp1 (7600)
Windows Server 2008
Windows Server 2008 sp2

    64位系统(x64)
Windows Xp
Windows Server 2003 r2
Windows 7 sp1
Windows Server 2008 sp2
Windows 8
开发者预览版

    本次供开发测试的平台:Windows 7 sp1 (7600) x86)、Windows 7 sp1x64

2011.10.05
    需要注入到所有进程。之前因为要监控所有进程的创建和销毁,而又不希望被杀毒软件主动防御拦截,所以,我的做法只能是,通过ring0进入到其他进程空间,然后,dll加载就等同于进程创建,dll卸载就等同于进程结束。
    后来,这种想法就这么延续了下来,而我也没有去修改这个要求。
    而驱动必需重启
系统才能生效,这确实是目前版本的一个缺陷,也是无法解决的一个问题!这里涉及到的问题是,一个内存数据,在物理内存中可能存在多个拷贝!——目前的方法无法解决这个问题。拟在下一版本中实现。
    
    刚刚完成前面的工作,得以开始研究。

分支讨论1:
ring3 inline hook与copy-on-write(写时复制)的问题讨论、ring0 dll注入问题探讨

http://zhanyonhu.blog.163.com/blog/static/1618604420119621450690/

 

2011.10.06:

分支讨论2:
Windows的进程创建机制、dll的加载、ring0 dll注入问题探讨 

http://zhanyonhu.blog.163.com/blog/static/1618604420119611384047/

 

我之前基本上是另外一种思路,所以,必需重启系统后才能很好地完成,否则,就是蓝屏宕机。所以,我想在下一个版本实现不重启注入dll的功能。——目前即将实现的方法,开发起来确实麻烦,不过技术上肯定可行。windows在这部分的安全处理基本上是空白。但是,考虑到必需重启才能生效,可能实用性不是很高。

 

2011.10.08:

分支讨论3:
Windows系统的用户态和内核态切换、多线程模型、ring0 dll注入的问题探讨   http://zhanyonhu.blog.163.com/blog/static/16186044201199112850669/

2011.10.11:
分支讨论4:
【ring0 dll注入】【分支讨论4】堆栈指纹检测 
http://zhanyonhu.blog.163.com/blog/static/16186044201191194616340/


 

2011.10.15:

最近两个月内,恐怕没有足够的时间研究这个了。两个月后,可能需要先研究一下另外一个技术,然后才能转回来做这个。

不过呢,将会先做一个无法过杀毒软件主动防御的、可以过DEP的、不需要重启电脑的ring0 dll注入驱动。主要用于游戏辅助软件,用途是:过游戏反外挂系统。

By:zhanyonhu


尝试绕过session隔离、杀毒软件的主动防御、Windows DEP数据执行保护等机制,实现ring0层注入dll到用户态(ring3)进程(6)  
http://zhanyonhu.blog.163.com/blog/static/1618604420120200425502/

  评论这张
 
阅读(1910)| 评论(0)
推荐 转载

历史上的今天

在LOFTER的更多文章

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2016