微点在vm里装完，重启蓝屏。

yjwfdc

polly5771

我的没有问题。楼下继续。

LZ蓝屏的原因，我明白了。不知大家看出来没有？？

我已经确认不是微点本身造成的

而是乱搭配引起冲突。

[ 本帖最后由 polly5771 于 2008-8-19 12:31 编辑 ]

pikachu30

嗯，看出来了，那个FYTDIDRV.sys是风云防火墙驱动程序，应该是它的问题。

pikachu30

风云防火墙参数检查漏洞，可导致BSOD2007-06-30 13:28风云防火墙存在严重漏洞，所有版本通杀，低权限用户可导致机器崩溃


朋友AYANAMI REI让我看看风云防火墙的技术到底如何
没想到随便看了下，却发现一些严重的BUG

风云防火墙所有包含主动防御模块的版本，都存在8处以上严重的参数检查漏洞
该漏洞可导致目标机器上任意权限的用户可以使系统蓝屏重启
以达到攻击者的一些进一步提权或其它目的

该漏洞位于风云防火墙驱动程序FYTdiDrv.sys中
在刚刚发布的最新版本中
该驱动通过修改KeServiceDescriptorTable(SSDT)挂钩了多个函数
包括:
ZwCreateKey
ZwCreateSection
ZwTerminateProcess
ZwSetInformationFile
ZwCreateFile
ZwRestoreKey
ZwDeleteValueKey
ZwSetValueKey
ZwCreateKey
这些函数的HOOK处理中都存在严重的参数检查漏洞
没有对用户层传入的指针做任何检查，只靠单一的SEH来保证程序安全

而SEH是无法处理内核指针错误的
只要任何用户态程序传入错误的内核态指针给被挂钩的系统函数，系统就会立即蓝屏

例如其中的ZwCreateKey，其HOOK后的代码大概是这样的:

MyZwCreateKey(....)
{
SEH_plog...
......
some codes
...
if (ObjectAttributes)
{
if (!ObjectAttributes.RootDirectory)
.......
some codes
}
}

这里可以看到，对其中一个指针ObjectAttributes没有做任何有效性检查，而直接取其中

的数据
我们可以用这样一段测试代码:

ZwCreateKey(&KeyHandle,KEY_ALL_ACCESS,0xF7654321,NULL,NULL,NULL,NULL);
其中第三个参数ObjectAttributes就是我们传递给函数的一个无效的内核地址

这时系统就会蓝屏，并显示错误为PAGE_FAULT_IN_NONPAGED_AREA ，导致错误的模块为风

云防火墙的驱动:FYTdiDrv.sys

而没有安装风云防火墙机器上运行此代码，则不会有任何问题(当然如果你安装的其他软件

也有类似BUG，就不好说了)

同样的漏洞在其他被挂钩的函数中同样存在

这里提供一个测试程序及源代码，仅用于演示之用，请勿用于非法用途
测试办法：安装最新版风云防火墙，安装时注意选上：注册表监控
运行测试程序，点 立即BSOD 系统即会立即蓝屏重启

qetuabc

最后一行不是微点的文件 是风云的文件  应该是冲突了吧