Kaspersky Flaw(1) --- 动态修改系统服务

最新推荐文章于 2024-07-23 20:55:11 发布
最新推荐文章于 2024-07-23 20:55:11 发布
阅读量1.1k 收藏 1
点赞数
分类专栏: 驱动程序文档 文章标签: api c 通讯
本文探讨了KAV通过挂钩API及系统服务实现自我保护的技术细节,并指出了这些做法中存在的安全漏洞,包括可能导致系统崩溃及权限提升的问题。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

动态修改系统服务

虽然KAV使用了反病毒软件常用的文件系统过滤来截取对于文件的获取,同时还使用对一系列API的挂钩来截取对不同文件的获取。在内核空间中使用挂钩API函数的方法非常危险:首先必须仔细交验所有从用户空间传入的参数,否则系统的安全性可能会受到未授权的恶意程序的威胁;其次很难安全的恢复这种内核空间的挂钩而不使系统崩溃,因为很难判断当时是否有线程正在使用这部分程序。此外KAV还错误地挂钩一些系统服务试图“保护”它本身的进程不被调试和终止。

不幸的是,KAV的程序员并没有正确交验传送到已挂钩系统服务的参数。这个漏洞可以让未授权的用户空间程序使系统崩溃。还有一些漏洞可以导致本地权限的提升,但作者并没有花时间去证实。

KAV挂钩以下系统服务(用windbg比较已加载KAV系统和干净系统的nt!KeServiceDescriptorTableShadow):

kd> dps poi ( nt!KeServiceDescriptorTableShadow ) l dwo ( nt!KeServiceDescriptorTableShadow + 8 )
8191c9c8 805862de nt!NtAcceptConnectPort
8191c9cc 8056fded nt!NtAccessCheck
...
8191ca2c f823fd00 klif!KavNtClose
...
8191ca84 f823fa20 klif!KavNtCreateProcess
8191ca88 f823fb90 klif!KavNtCreateProcessEx
8191ca8c 80647b59 nt!NtCreateProfile
8191ca90 f823fe40 klif!KavNtCreateSection
8191ca94 805747cf nt!NtCreateSemaphore
8191ca98 8059d4db nt!NtCreateSymbolicLinkObject
8191ca9c f8240630 klif!KavNtCreateThread
8191caa0 8059a849 nt!NtCreateTimer
...
8191cbb0 f823f7b0 klif!KavNtOpenProcess
...
8191cc24 f82402f0 klif!KavNtQueryInformationFile
...
8191cc7c f8240430 klif!KavNtQuerySystemInformation
...
8191cd00 f82405e0 klif!KavNtResumeThread
...
8191cd58 f82421f0 klif!KavNtSetInformationProcess
...
8191cdc0 f8240590 klif!KavNtSuspendThread
...
8191cdcc f82401c0 klif!KavNtTerminateProcess

此外,KAV还通过修改SSDT创建了一些新的系统服务,作为用户空间调用内核函数的快捷方式。这并不是理想的用户空间和驱动程序之间的通讯方法。程序员应该通过传统的IOCTRL接口来通信,以避免动态修改内核结构的缺陷,以及操作系统版本的变迁导致系统服务编号变化的不便。

Kaspersky Flaw的都是翻译自Skywing的"What Were They Thinking? Anti-Virus Software Gone

Wrong",只对其中关于Kaspersky的部分进行翻译。
 

Kaspersky Flaw(5) -- 修改没有输出和不是系统服务的内核函数
08-12 1056
修改没有输出和不是系统服务的内核函数KAV的内核补丁还不仅局限于系统服务,其中最危险的就是挂钩一个既不是输出函数又不是系统服务的内核函数nt!SwapContext(因此并没有可靠的办法,只能从编码的特殊痕迹来获取它的地址)。nt!SwapContext在内核每一次上下文切换的时候都会被调用,以便进行内部数据的保存。作者认为,通过不可靠的编码特殊痕迹来对未输出的重要核心函数进行补丁的方式并
Kaspersky Flaw(3) --- 隐藏用户空间线程
08-08 979
 隐藏用户空间线程KAV错误使用系统服务挂钩不仅是对NtOpenProcess。另外一个被KAV挂钩的系统服务是NtQuerySystemInfomation,在接收到SystemProcessAndThreads类别调用的时候,挂钩函数将截掉某些特定进程的线程列表。这将影响从用户空间获取应用程序进程的线程列表。使用这种技术令人费解,因为对用户空间隐藏线程都是和Rootkit联
Kaspersky Flaw(2) --- 不正确校验用户空间指针
08-08 959
 不正确校验用户空间指针很多KAV安装的挂钩(包括KAV自定义的系统服务)都会因为操作系统的不同而出现问题。比如,在KAV修改的NtOpenProcess函数中企图通过直接和硬编码的0x7FFF0000比较,来判断是否是用户空间地址。在绝大部分x86 Windows系统上,用户空间地址的最大值都是0x7FFEFFFF。但是硬编码用户空间的最大值并不是好办法。比如把Boot.in
Kaspersky Flaw(6) -- 允许用户模式代码操作内核内存
08-12 1164
允许用户模式代码操作内核内存现代操作系统的一条重要原则是内核与用户模式的分离,不允许用户模式代码直接操作内核空间内存.这条原则对保证系统的稳定性非常必要,比如阻止有错误的用户模式程序破坏内核并导致系统崩溃。可是KAV程序员并不认为这种分离原则很重要。KAV一个非常奇怪的不安全实现是让用户模式可以直接调用其内核驱动的部分函数,而不是采用加载用户模式DLL,或者加载用户模式代码到目标进程的方式。这
每日安全资讯(2022-12-02)
m0_73351035的博客
12-02 435
嘶吼 RoarTalk – 回归最本质的信息安全,互联网安全新媒体,4hou.com。奇客Solidot–传递最新科技情报。知识星球:LeadlifeSec。FreeBuf网络安全行业门户。网络安全应急技术国家工程实验室。博客园 - nice_0e3。关键基础设施安全应急响应中心。QQ群:775454947。安全客-有思想的安全新媒体。博客园 - 渗透测试中心。K8哥哥’s Blog。山石网科安全技术研究院。深信服千里目安全实验室。黑海洋 - WIKI。安全研究GoSSIP。
国内外网安资讯精选 | CS:GO 交易网站被黑,价值 600 万美元皮肤被盗
heitu0的博客
08-17 366
网安资讯
网络安全Web相关知识
最新发布
m0_73245690的博客
07-23 1420
RCE是一个严重的安全漏洞,可能导致系统完全被攻击者控制。通过对用户输入进行严格的验证和过滤、避免直接执行用户输入、及时打补丁以及遵循安全编码实践,可以有效防范RCE攻击。定期进行代码审查和安全测试,也是确保应用程序安全的重要措施。输入验证:对用户输入进行严格的验证和过滤。输出编码:在输出用户内容时,对特殊字符进行编码。使用安全API:避免直接拼接和输出用户输入。内容安全策略:配置CSP头,限制浏览器执行的资源类型。检测和测试:使用自动化工具、代码审查和渗透测试等方法检测和修复XSS漏洞。
袭扰战术_战术十必不可少的八
weixin_26636643的博客
08-13 1009
袭扰战术In February of 2017, The Australian Signals Directorate (ASD) Australian Cyber Security Centre (ACSC) published an update to their “Top 4” Strategies to Mitigate Cyber Security Incidents by revisi...
Kaspersky-Trial-Reseter-2015.rar_As One
07-13
A text file (sometimes spelled textfile : an old alternative name is flatfile ) is a kind of computer file that is structured as a sequence of lines of electronic text. A text file exists within a ...
Kaspersky-Security-Center设置
05-25
Kaspersky Security Center(简称KSC)是一款功能强大的安全管理系统,旨在帮助企业级用户管理和监控其网络中的安全状况。通过KSC,管理员可以集中管理安装在各个终端上的Kaspersky Endpoint Security产品,包括更新...
Kaspersky Anti-Virus Update 2013.02.19.zip
07-14
AVP是俄罗斯软件公司的产品,是一个在国外评价极高杀毒软件。它也有常驻于System Tray的自动监视功能,可帮你自动监视从磁盘、网路上、E-mail 夹档中开启文件的安全性,亦有鼠标右键的快速选单,还附有 LiveUpdate ...
Kaspersky Anti-Virus v7.0.0.321
10-30
Kaspersky(卡巴斯基)杀毒软件来源于俄罗斯,是世界上最优秀、最顶级的网络杀毒软件,查杀病毒性能远高于同类产品。Kaspersky(卡巴斯基)杀毒软件具有超强的中心管理和杀毒能力,能真正实现带毒杀毒!提供了一个广泛的...
Kaspersky Anti-Virus Personal Pro v5.0.676
03-14
Kaspersky 为任何形式的个体和社团提供了一个广泛的抗病毒解决方案。它提供了所有类型的抗病毒防护:抗病毒扫描仪,监控器,行为阻段和完全检验。它支持几乎是所有的普通操作系统、e-mail 通路和防火墙,控制所有...
K8s 很难么?带你从头到尾捋一遍,不信你学不会
民工哥的博客
02-23 9852
点击关注公众号,回复“1024”获取2TB学习资源!为什么要学习 Kubernetes?虽然 Docker 已经很强大了,但是在实际使用上还是有诸多不便,比如集群管理、资源调度、文件管理等...
10天智能锁项目实战第1天(了解单片机STM32F401RET6和C语言基础)
北豼不太皮的博客
02-21 4028
10天智能锁项目实战第1天(了解单片机STM32F401RET6和C语言基础)一、学习目标二、了解单片机STM32F401RET6三、C语言基础 一、学习目标 二、了解单片机STM32F401RET6 4、STM32F401RE特征 三、C语言基础 1.数据类型 常用2的次方: 2^7 = 128 2^8 = 256 2^15 = 32768 2^16= 65536 51单片机常见的数据类型: char: 占内存1字节 取值范围:-128~127 -2^7 ~ 2
Android开发(1) | Fragment 的应用——新闻应用
Jormungand_V的博客
02-21 7415
文章目录 news_item.xml: <TextView xmlns:android="http://schemas.android.com/apk/res/android" android:id="@+id/news_title" android:layout_width="match_parent" android:layout_height="wrap_content" android:lines="1" android:ellipsize="
系统学习 TypeScript(四)——变量声明的初步学习
编程三昧
02-25 1956
认识了 TypeScript 中的基础类型,接下来当然是变量声明的相关学习了,我在这里记录一下我学习过程中的一些总结。
清除浮动的五种方法
weixin_52212950的博客
02-22 3018
为什么要清除浮动?因为往往浮动后的子元素因为脱离了标准流,不能自动撑起父元素的高度,所以会对后续布局产生影响,对此清除浮动不如理解为清除浮动产生的影响更为合理。 例如:我们设置了两个盒子如图所示,粉色为父盒子,只有宽度没有高度,蓝色盒子有宽有高,粉色盒子的高由蓝盒子的高度撑开。 但是给蓝色的子盒子设置了左浮动后,脱离了标准流,无法再撑开粉盒子,可以看到粉盒子高度变成了0; 清除浮动有五种方法: 直接设置父元素的高度 额外标签法 单伪元素法 双伪元素法 ove.
HTML实现学习网站首页
做技术,坚持才是最重要的,一时的热情只是暂时的进步
02-20 4499
项目访问 reset.css /* http://meyerweb.com/eric/tools/css/reset/ v2.0 | 20110126 License: none (public domain) */ html, body, div, span, applet, object, iframe, h1, h2, h3, h4, h5, h6, p, blockquote, pre, a, abbr, acronym, address, big, cite, code, del
Kaspersky Anti-Hacker 1.8 Build 180 汉化版:网络安全防火墙
1. Kaspersky品牌背景: 卡巴斯基实验室是一家国际信息安全公司,成立于1997年,总部位于俄罗斯莫斯科。该公司在全球范围内提供广泛的安全解决方案,包括个人用户和企业级产品。卡巴斯基的产品以其高效的病毒检测率...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值