|
[结束][第三阶段]看雪论坛.腾讯公司2008软件安全技术竞赛
我都是直接在机器上运行,这样才有快感 |
|
[结束][第三阶段]看雪论坛.腾讯公司2008软件安全技术竞赛
ccfer的境界无人能及 |
|
|
|
[原创]QQ寻仙木马
上面的方法应该是可以实现的,明天要出去有事,周末才回来,我没空写驱动了 |
|
[原创]QQ寻仙木马
再说一个理论上的方法 用驱动去hook HBKernel32.sys的IAT,hook KeDelayExecutionThread这个函数 然后自己的MyKeDelayExecutionThread,里面把Interval改成超大,这样就相当于驱动的那个保护线程直接挂起了,然后再关掉文件占坑句柄,结束system.exe的时候,可以用OpenProcess(..,..,pid+1)的方法打开进程,然后结束它,这样注册表就没有保护了,清掉所有注册表项,再发远程线程,卸载掉全局的hbqqxx.dll模块,然后删文件即可。 |
|
[原创]QQ寻仙木马
第5种: ring3版 和驱动通信,去掉它保护的进程pid,和保护文件的标志(驱动的漏洞?) 关闭驱动占坑的文件句柄,去掉hbkernel32.sys的保护 结束system.exe进程,去掉system.exe的保护 枚举所有hbqqxx.dll的模块,发远程线程卸载掉,去掉hbqqxx.dll的保护 删除上述文件,重启后运行cleanup.exe |
|
|
|
|
|
[结束][第三阶段]看雪论坛.腾讯公司2008软件安全技术竞赛
终于把~~~木马分析完了 |
|
[原创]QQ寻仙木马
忘记说了,HBKernel32.sys还会保护 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HBKernel32 不被删除 |
|
[原创]QQ寻仙木马
第二种方法:ring3版本 条件:windows xp以上,windows 2000不支持,需要有管理员权限 用ring3下函数NtSystemDebugControl写内核空间,patch驱动RVA为的0x3F20的位置,使它的保护线程自己退出 .text:00012D6D loc_12D6D: ; CODE XREF: systhread+25j .text:00012D6D ; systhread+428j .text:00012D6D cmp dword_13F20, 0 ; 这里写入1,则线程退出 .text:00012D6D ; .text:00012D74 jz loc_12958 ; 循环线程 先找到HBKernel32.sys的基址,然后patch RVA位置的数据,用NtSystemDebugControl的9号功能写内核地址 然后再结束system.exe的进程,然后删文件,删注册表项 这样,HBKernel32.sys和system.exe已经被删除了 如果HBQQXX.dll文件删不掉就重启后运行上面的cleanup.exe,这里懒,懒得强行卸载模块了 |
|
[原创]QQ寻仙木马
第一种方法: ring3版 直接解析磁盘,找到文件对应位置,写扇区数据,破坏上面3个文件,重启后,驱动无法加载,system.exe无法启动,HBQQXX.dll无法注入,再清除文件,注册表项 先运行delfile,然后重启(我程序懒得做重启了) 重启后运行cleanup.exe,OK |
|
[结束][第三阶段]看雪论坛.腾讯公司2008软件安全技术竞赛
这种题目不需要跟啊,ring3程序+脚本就能清干净了 |
|
[结束][第三阶段]看雪论坛.腾讯公司2008软件安全技术竞赛
膜拜LS啊,速度太快了 |
|
[结束][第三阶段]看雪论坛.腾讯公司2008软件安全技术竞赛
写出来的专杀不支持2000可以吗? |
|
|
|
[结束][第三阶段]看雪论坛.腾讯公司2008软件安全技术竞赛
1、以清除掉木马释放出来的文件为标准,清除方法ring3的方法优于ring0的方法,用ring3解决该问题基础分得到90分,用ring0解决该方法基础分得到60分。 我第一种方法用ring3,后面6种用驱动,算150分嘛? |
|
[结束][第三阶段]看雪论坛.腾讯公司2008软件安全技术竞赛
我中毒了。。。。 |
|
[结束][第三阶段]看雪论坛.腾讯公司2008软件安全技术竞赛
太难了,完全不懂 |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值