360安全招聘破解题--木马攻防考题-木马分析[凝逸反病毒]

凝逸反毒

360安全招聘破解题--木马攻防考题-木马分析[凝逸反病毒]


360黑客大赛 ：http://challenge.onebox.so.com/
回挑战首页

题目说明：
由于原始系统即Windows系统里面可能感染了恶意代码，整个系统环境已经不可靠了，由此为了安全输入而引入CleanOS：CleanOS首先作为驱动加载运行，其初始化过程会停止Windows系统在各CPU上的运行（冻结了整个Windows），同时保存了Windows相关运行状态；随后控制权就交给了CleanOS这个mini操作系统，它接管了所有硬件资源，接收来自用户的键盘输入，并通过自绘显存（CleanOS有相应的GUI子系统）展示给用户。这样输入在一个安全的环境中进行。

CleanOS结构的简图如下：

答题要求：
突破CleanOS的防护，获得用户的键盘输入数据。（要求不得破坏CleanOS.sys本身使其不能正常工作；不得拦截驱动和演示程序之间的通讯来获得数据，因为实际使用中驱动可以仅输出非对称加密后的数据直接传往服务器）
补充说明：
1.vmware中运行时，因为里面系统被冻结导致其无法自动刷新CleanOS界面，不影响正常输入；
2.Demo只支持了UHCI与OHCI，2.0的EHCI和3.0的xHCI是不支持的，如果是USB键盘可以先用usbview查看一下是否支持，不能正常工作可以尝试使用vmware来运行。
3.提交答案首选是完整的可编译的突破代码，无法完成也可以提供方法的详细描述，按照完成度的不同得分不同。对PS/2键盘和USB键盘分别计分最后求和。
题目附件：
木马攻防考题.zip



=====================





凝逸反病毒-木马分析

==========1=========
与CleanOS运行在同样的层级和权限环境下，


直接 接收 建盘的通讯\才能破了
还有 要 在他的 线程中
不然 会 死了
一样 收不到
CleanOS 也是死的
要在sys的 线程中 或那个 级吧


=======2=============
要防这个病毒. 可以让他不能通讯

禁止驱动通讯
===================

凝逸反病毒.木马攻防考题1禁止驱动通讯.rar

[

凝逸反毒

360的木马攻防考题
http://challenge.onebox.so.com/D ... tag=trojan#nav-wrap
由于原始系统即Windows系统里面可能感染了恶意代码，整个系统环境已经不可靠了，由此为了安全输入而引入CleanOS：CleanOS首先作为驱动加载运行，其初始化过程会停止Windows系统在各CPU上的运行（冻结了整个Windows），同时保存了Windows相关运行状态；随后控制权就交给了CleanOS这个mini操作系统，它接管了所有硬件资源，接收来自用户的键盘输入，并通过自绘显存（CleanOS有相应的GUI子系统）展示给用户。这样输入在一个安全的环境中进行。




===分析=======
cleanOS也冻结
是sys线程 还活着
他是 sys线程 得到 安建
在 传回 cleanOS
除非 能进到 sys线程
或 作一样的sys
=========

===破解=======
我是拦截sys通讯不让他
cleanOS也冻结 整个Windows
别外写一个 监视安建 来得到 键盘输入


或 拦截键盘的硬件通讯 ,需要有r0级 不能被冻结

=========


====建认=======
那些用到帐号的 如qq , yy ,游戏, 都可以用这个原理,
   
木马的对招
木马可以
注人到 主程, 拦截键盘的硬件通讯
作一个假冻结了整个Windows. 假的登陆窗口

或 拦截sys通讯 解密数据,
或 拦截sys通讯 得到事件 读取 传过来的 主程解出的 内存数据 (帐号)


或 也作一个一样的sys

=============












凝逸反病毒-木马攻防考题2








==========1=========
与CleanOS运行在同样的层级和权限环境下，


直接 接收 建盘的通讯\才能破了
还有 要 在他的 线程中
不然 会 死了
一样 收不到
CleanOS 也是死的
要在sys的 线程中 或那个 级吧


=======2=============
要防这个病毒. 可以让他不能通讯


===================

fuyuming

学习了

275751198

太高级了，支持一下楼主

z紫f风l铃

蜘蛛拦截

360主动防御

要求不得破坏CleanOS.sys本身使其不能正常工作；不得拦截驱动和演示程序之间的通讯来获得数据，因为实际使用中驱动可以仅输出非对称加密后的数据直接传往服务器

20130122

参观学习中，360这是？

烟花雨

z紫f风l铃 发表于 2014-5-1 16:39
蜘蛛拦截

Bitdefender blocked this page
The page you are trying to access contains Gen:Variant.Graftor.137753.