司徒若尘 2013-7-18 13:32
一种新的加载驱动方法爆光
[size=2][font=Arial][color=#444444]加载步骤:[/color]
[font=Arial][color=#444444] 1。编写一驱动,不用关sfc,直接复制替换系统目录下的某文件。[/color][/font][/font][/size]
[size=2][font=Arial][font=arial, helvetica, 宋体][color=#444444] 2。调用某API函数,此函数不是由ntdll,kernel32,user32这些DLL导出的,是可以在MSDN里查到的,为便于说明我叫它func1,如果不出意外驱动就已经加载了。[/color][/font][/font][/size]
[size=2][font=Arial][font=arial, helvetica, 宋体][color=#444444] 伪代码只有两行:[/color][/font][/font][/size]
[size=2][font=Arial][font=arial, helvetica, 宋体][color=#444444] CopyFile("aaa.sys",'c:\\windows\\system32\XXXX.XXX');[/color][/font][/font][/size]
[size=2][font=Arial][font=arial, helvetica, 宋体][color=#444444] func1(...);[/color][/font][/font][/size]
[size=2][font=Arial][font=arial, helvetica, 宋体][color=#444444] 特别注意:加载的驱动不能用一般的驱动,一般的驱动的入口点是[/color][/font][/font][/size]
[size=2][font=Arial][font=arial, helvetica, 宋体][color=#444444] NTSTATUS DriverEntry( IN PDRIVER_OBJECT DriverObject, IN PUNICODE_STRING RegistryPath );[/color][/font][/font][/size]
[size=2][font=Arial][font=arial, helvetica, 宋体][color=#444444] 而这个驱动的入口点函数应该写成[/color][/font][/font][/size]
[size=2][font=Arial][font=arial, helvetica, 宋体][color=#444444] NTSTATUS DriverEntry(LPVOID a,LPVOID b,LPVOID c)//注意,它没有PDRIVER_OBJECT[/color][/font][/font][/size]
[size=2][font=Arial][font=arial, helvetica, 宋体][color=#444444] 说明:[/color][/font][/font][/size]
[size=2][font=Arial][font=arial, helvetica, 宋体][color=#444444] 1。我大概测试了下以下杀软,没有一个报的[/color][/font][/font][/size]
[size=2][font=Arial][font=arial, helvetica, 宋体][color=#444444] xp vista win7[/color][/font][/font][/size]
[size=2][font=Arial][font=arial, helvetica, 宋体][color=#444444] 瑞星+360 不报[/color][/font][/font][/size]
[size=2][font=Arial][font=arial, helvetica, 宋体][color=#444444] 超级巡警 不报[/color][/font][/font][/size]
[size=2][font=Arial][font=arial, helvetica, 宋体][color=#444444] kis7 不报[/color][/font][/font][/size]
[size=2][font=Arial][font=arial, helvetica, 宋体][color=#444444] 微点 不报[/color][/font][/font][/size]
[size=2][font=Arial][font=arial, helvetica, 宋体][color=#444444] 卡巴2009 加载驱动不报,替换文件报(xyzreg帮助测试)[/color][/font][/font][/size]
[size=2][font=Arial][font=arial, helvetica, 宋体][color=#444444] 2。只要能替换system32目录下的那个文件,调用那个func1函数是没有权限要求的,所以在fat32系统上应该能直接从低权限提升到system权限。(也算是一个提权0day了)[/color][/font][/font][/size]
[size=2][font=Arial][font=arial, helvetica, 宋体][color=#444444] 3。好像貌似有办法不用自己调用func1函数,可以在替换文件后让csrss进程去加载这个驱动,也就是说杀软如果报了,也不会报你的程序。。。。。但我还没有完全研究出来,此条不一定正确。[/color][/font][/font][/size]
[size=2][font=Arial][font=arial, helvetica, 宋体][color=#444444] 4。发现此0day时间不长,工作又太忙,还没仔细研究,以上说明中可能有些不妥的地方,望谅解。[/color][/font][/font][/size]
luckycm 2013-7-18 14:08
学习学习:excellence :excellence :excellence
gto520gto 2013-7-18 15:24
又学了一招,回去试一下,谢谢了:excellence 楼主好人啊
feihu-sq 2013-7-18 15:36
这段代码有什么作用呀?不是很明白,虚拟光驱软件很多,需要这个吗?:faint
shower2232 2013-7-18 16:11
回复 4楼 的帖子
这里说的驱动是指系统驱动,可以利用这个漏洞来弄木马什么的.
kingeast111 2013-7-18 18:03
技术贴,等下回去试试看,应该会比较好用的吧。
街角错爱 2013-7-18 18:06
:excellence :excellence 这么多代码...楼主学习了 . :excellence
apgezj 2013-7-18 23:26
这个太复杂了吧。怎么用用在什么地方也没注明。不是高手看不懂。是高手也不用看了。(玩笑)
vivianniya 2013-7-19 09:27
可能我的理解比较差吧 看上去很厉害啊 还要再斟酌斟酌一下啦
aixiangsuist 2013-7-19 15:32
额,楼主,你只说是新方法,但是这个加载能完成光驱的什么功能啊? 只是要完成读盘功能嘛?
long5862838 2013-7-19 20:34
谢谢大神的分享啊,受益剥夺
long5862838 2013-7-19 20:41
谢谢楼主的分享,收藏了
long5862838 2013-7-19 20:58
我也是碰到同样的问题,求助大神帮解决啊!!
long5862838 2013-7-19 21:04
我之前也用过这种方法 挺好的
在线客服(1)