注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

mie

 
 
 

日志

 
 

尝试绕过session隔离、杀毒软件的主动防御、Windows DEP数据执行保护等机制,实现ring0层注入dll到用户态(ring3)进程(7)  

2012-03-03 14:56:55|  分类: sr |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

        Windows 8估计在一年内会面向市场。
        搜集了一些相关信息,大致可以推测出,windows8在内核上和win7一脉相承。而在boot loader部分,支持UEFI启动了(BIOS的替代);在界面方面,改用metro(WP7中采用的),有点类似于Andriod的界面设计。
        另外一个不利的消息是,有说法,win8中将启用引导数签检测。也就是win7 64位系统的模式,系统启动时,检测第三方驱动程序是否有经过数字签名,如果没有,则不加载。这给rootkit带来了很大的挑战。UAC+数签。
        此外,有说法是,可以利用UEFI的缺陷,实现bootkit。我相信这是可行的思路。

 

尝试绕过session隔离、杀毒软件的主动防御、Windows DEP数据执行保护等机制,实现ring0层注入dll到用户态(ring3)进程(6)  

http://zhanyonhu.blog.163.com/blog/static/1618604420120200425502/


2012.03.03:  
        win8的发布,咱不得不考虑这个新的东西。我测试了一下,发现32位win8不强制数签。这是一个好消息。——64位的全面普及,还得几年的时间。


2012.03.04:  

    【版本五A】初步试验成功!由于版本五很可能是过不了NP保护的,所以,将针对跑跑卡丁车做测试,也会对DNF进行测试。至于360,基本上肯定是可以注入的,也会测试一下。

    如果【版本五A】可以过NP,我就做一个外挂专用版本【版本五B】。这个版本无需重启电脑,同时,不会进行ring0 hook等操作(减小被反外挂检测到的可能性),基本上是无痕迹的注入。但是,由于使用了一个API函数(据称是被NP给hook了),所以,很可能过不了反外挂。这个函数,360等软件是不处理的,所以,过它应该没问题。

    这个版本需要大量时间,所以我一直拖到现在。这类底层的开发,不连续十几个小时乃至二十个小时的开发,是很难有进展的,——几个小时的话,预热、回忆上次的内容,部署环境,就得几十分钟,刚开了个头,就没时间了。

【六、七、八】的开发暂停。将转向【版本三A】的开发,接着开始数签和64位系统的开发。也可能,在完成【版本三A】之后,停止开发。——因为过数签+杀软检测,得需要使用到很多技术。而本人的水平有限,记忆力也差,一个东西,看了十几遍还是记不住,所以,恐怕要完成这样的开发,需要数年的时间。

    回过来再想想,其实,最初的思路就是错误的。总是把用户当成了行家,然后试图让他们无法察觉,于是,自己给自己设置了重重障碍。比如,如果单单是用于外挂,就没必要搞那么复杂,别人检测到就检测到,主防报警就报警,都是可以接受的。如果单单用于电脑监控,其实,只要能够引导、安全注入,和杀软共存,就够了,至于说和反外挂软件冲突,那倒无所谓,电脑监控软件就是监控用户的工作,而不是监控他玩游戏,他没法玩游戏则更好了;杀软报警也好办,既然是电脑监控,是合法软件,那么,就干脆打个数字签名,就行了。同时,一般的工具没法阻止,也就OK。而对于木马引导,则是最复杂的。木马引导又有多种,一种是安全用途的,旨在暗中监控特定的电脑,窃取机密,另外一种可能是纯粹的盗号、入侵。对于安全用途的,就得是完全的高度隐藏;而对于盗号之类的,可以稍微降低要求。

  

2012.03.11:  

        暂停开发。最近越来越没了斗志,开发一拖再拖,当然,除了主观原因之外,还有其他的因素。一般,外行总是开出几百的价钱,我真是无法理解。不但如此,更是以安装时被主防报警为由,说这个如何如何。其实这里是启动注入,而对于安装部分,并不是我所需要考虑的,如果要做这方面的,想必都有自己的0day了,静默安装对他们来说是小儿科的,所以,一开始,我就没考虑这些。另外,对于电脑监控类的,是管理员来安装,也无需过主防安装,所以,更不需要考虑。
        而懂这方面的,更多地倾向于自己开发,他们对于这类的需求 和 我的开发方向不同,他们更多地倾向于实现,而我则追求实现+隐藏,其实,我的方向就有点偏了。
        另外一方面,对于花费了大量精力,却无回报的东西,我是不感兴趣的,这一点,也使得自己很多时候没有足够的耐性。这次也一样。
        由于这类开发往往需要太多的时间,每天的几个小时是不够的,结果,每天都在踌躇,时间没了,什么都没做。为了能利用这每天有限的时间,我也得放弃这个开发计划。
        当然,我还是希望能继续研究。先熟悉一下一个新的技术领域,然后开发另外一个软件。


2012.03.17:   
       暂弃开发。


By:zhanyonhu

  评论这张
 
阅读(1175)| 评论(0)
推荐 转载

历史上的今天

在LOFTER的更多文章

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2016