火绒盾（断开网络失效）问题已经查明～～【问题已经解决】

Flameocean

BootMgr 发表于 2012-7-31 16:12
我都把真相全部说出来了，BUG本质分析得一清二楚，连修复方案都写了，再不承认只能不说话了吧？扯上360除 ...

别人已经道歉了，哈哈，难免技术比不上你，心里肯定不是很好受的，MJ你就别继续打击别人了，别人还是诚恳道歉了

BootMgr

Flameocean 发表于 2012-7-31 16:49
别人已经道歉了，哈哈，难免技术比不上你，心里肯定不是很好受的，MJ你就别继续打击别人了，别人还是诚恳 ...

主贴都没修改呢，哪里诚恳了

zhq445078388

BootMgr 发表于 2012-7-31 16:54
主贴都没修改呢，哪里诚恳了

嘿嘿 现在手边没ide PsSetLoadImageNotifyRoutine这个API就先这么写一个 明天加进驱动里面去看看~

NTSTATUS DriverEntry(PDRIVER_OBJECT pDriverObj, PUNICODE_STRING pRegistryPath)
{
.....
PsSetLoadImageNotifyRoutine((PLOAD_IMAGE_NOTIFY_ROUTINE)myloadimagecallback);
.....
}

VOID myloadimagecallback(
    __in_opt PUNICODE_STRING  FullImageName,
    __in HANDLE  ProcessId,
    __in PIMAGE_INFO  ImageInfo
)
{
kdbprint("this Image is %ws",*FullImageName);
kdbprint("load this Image Process is:%d",ProcessId);
kdbprint("this Image baseaddress is:%d",(ULONG)ImageInfo->ImageBase);
}

这么理解应该没问题吧~

BootMgr

zhq445078388 发表于 2012-7-31 16:59
嘿嘿 现在手边没ide PsSetLoadImageNotifyRoutine这个API就先这么写一个 明天加进驱动里面去看看~

NTS ...

没问题，需要注意的是这个回调不仅是内核模块的加载会被回调，在映射RING3的镜像时（比如RING3 DLL加载）也会，可以通过ImageBase或ImageInfo.SystemModeImage 来判断

zhq445078388

BootMgr 发表于 2012-7-31 17:03
没问题，需要注意的是这个回调不仅是内核模块的加载会被回调，在映射RING3的镜像时（比如RING3 DLL加载） ...

这么多弯弯绕啊..幸好问了下 不然调试信息会刷屏的

zhq445078388

BootMgr 发表于 2012-7-31 17:03
没问题，需要注意的是这个回调不仅是内核模块的加载会被回调，在映射RING3的镜像时（比如RING3 DLL加载） ...

Mj大大 突然想起

一般来说 进程保护程序都会忽视掉自身进程发起的Openprocess自己的操作
那么 使用这个函数 将其中的导出表的函数修改到自己的函数 然后在eat指向的函数中openprocess 然后将该句柄传递到全局变量 暂时不NTClose..
这样来对进程进行控制 是否就可以绕过绝大多数的进程级防护呢?

BootMgr

zhq445078388 发表于 2012-7-31 17:13
Mj大大 突然想起

一般来说 进程保护程序都会忽视掉自身进程发起的Openprocess自己的操作

如果是ring0保护NtOpenProcess的话，你在ring3是无法hook ring0的函数的，当然如果进入ring0的话是可以的，但那样就没必要绕过保护了。

chujunci

zhq445078388 发表于 2012-7-31 13:42
很多时候需要挂的 事实上 当回调的函数向回jmp的时候 会略过后面的 当第一个被un hook后 第二个接收到参数  ...

这个是360的HOOK保护？

zhq445078388

BootMgr 发表于 2012-7-31 17:20
如果是ring0保护NtOpenProcess的话，你在ring3是无法hook ring0的函数的，当然如果进入ring0的话是可以的 ...

额 说真的 经常看到你和大肉鸡说到了r0就没必要怎么怎么样..

可是../..我经常碰到r0发起的请求被其他驱动拒绝掉

是不是 并不是所有驱动都放行内核模式请求呢?..
他们那么做 不会产生稳定性问题么.

BootMgr

zhq445078388 发表于 2012-7-31 17:22
额 说真的 经常看到你和大肉鸡说到了r0就没必要怎么怎么样..

可是../..我经常碰到r0发起的请求被 ...

在r0拦截除了一些特殊的功能外，基本上没有意义的，如果你看到一些安全软件（比如微点、江民之类）去防御R0的攻击比如进程结束，说明他们的作者完全不理解怎么去防御攻击，通常这样软件都是漏洞百出的，而它们防御R0攻击的原因也通常是因为他们不具备驱动拦截能力（比如上面提到的江民和微点）。

如果你进入了R0，可以非常轻松地废掉这些安全软件的所谓R0的拦截，比如你说的方法也是可行的，不过类似这样的软件通常会在结束的地方做防御，但其实一些简单的机制比如破坏进程内存就可以让他们被结束掉。