2011 已经到达RC（232）

sixru

哪里下载啊？？

sixru

找到了。原来在这里————
http://bbs.kafan.cn/thread-697819-1-1.html

jefffire

回复 1# syfwxmh

那个参数替换漏洞工具来了，不过不是一个bypass工具，而是个检测工具检测SSDT Hook的参数是否被正确传递
原帖地址http://www.matousec.com/projects/bsodhook/
WARNING：Currently supported are the following kernels:

• Windows XP SP3 5.1.2600.5657
• Windows XP SP3 5.1.2600.5512
• Windows XP SP2 5.1.2600.3093
• Windows XP SP2 5.1.2600.2180
• Windows 2000 SP4 5.00.2195.7133
• Windows 2000 SP4 5.00.2195.7045
• Windows 2000 SP4 5.00.2195.6717

bsodhook.zip (351.55 KB, 下载次数: 15)

2010-5-8 10:25 上传

点击文件名下载附件

JusT.Like

回复 23# jefffire

等着围观...

jefffire

回复 24# JusT.Like


    嘿嘿几乎所有依靠SSDThook的安全软件都有这个漏洞

JusT.Like

回复 25# jefffire

开工记得M我...[:27:]

jefffire

回复 26# JusT.Like


    copy几段MJ0011的话，版权归MJ0011所有
   这种攻击的几个科普：

1. 参数替换攻击并非那么简单的，其关键在于找到一个“支点”，而在系统处理之前处理SSDT的问题并不是这个攻击的关键，因为系统处理之前没有“支点”，相反，很多问题是在不同的复杂情况下能表现的，或者易于攻击的。当然理论上，参数替换攻击能够攻破任何没有准确capture参数的SSDT HOOK，但实际上没有支点的情况下，试上一个月也不可能成功攻击，即使有支点，在非双核的机器上，攻击也需要相当的技巧才能实现

2.这种攻击方式我早在一年多前就在360内部提到过，当时是和参数PROBE漏洞绕过HIPS的技术一起提出过，也就是去年11月第一次突破MD FD的攻击技术（同时可以攻破瑞星等各类HIPS),这个技术没有公开，因为现在的安全软件防护本来就漏洞百出，根本还用不到这么高级的技术去进行攻击。另外，这个攻击技术同时可以触发很多安全软件的内核提权漏洞，例如腾讯QQ医生的驱动中，就可以利用这个技术触发一个本地内核权限提升漏洞

jefffire

回复 26# JusT.Like


    还有flowercode的话
  简单地说就是几百年前就有的 Time-of-check-to-time-of-use 问题，简称 TOCTTOU。
也就是说传进去的参数在检查的时候可能是正常的，但就在你检查完准备用的时候，可能就被换掉了。当你开始用的时候，已经不是原来的参数了。
这就是为什么微软那帮人写的代码第一件事 try，第二件事 Probe，第三件事就是 Capture。而且重要的检查步骤前后都是 Critical Section 包围，或者 Raise IRQL。
这年头写安全软件驱动的人基本上根本都没听说过 TOCTTOU，更别指望引起重视了。
TOCTTOU 攻击要成功的话需要一定的运气

potkeys2

回复  JusT.Like


    copy几段MJ0011的话，版权归MJ0011所有
   这种攻击的几个科普：

1. 参数替 ...
jefffire 发表于 2010-5-8 10:34

哇！很专业！

JusT.Like

回复 27# jefffire

已经拜读过...