[原创]ProbeBypass攻击技术-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]ProbeBypass攻击技术

发表于: 2009-10-29 22:37 20675

[原创]ProbeBypass攻击技术

qihoocom

2009-10-29 22:37

20675

本文介绍了一种方法，利用很多安全防御软件在进行用户态内存校验时的漏洞，对其保护系统进行攻击，达到绕过保护的目的。

这是安全防御软件对于用户态内存校验未能慎重处理而引发的恶果之一。去年10月我曾在对国内外绝大部分主动防御产品的系列漏洞文章中，揭示了同样由于对用户态内存校验不慎重，导致的一些本地内核模式拒绝访问漏洞的问题，这里我将介绍利用这类漏洞进行的攻击绕过方法，这个漏洞是我去年发现并在内部圈子做过一些讨论的，现在我将它公开出来。

本文会以Malware Defender最新版 2.4.1的实际存在的漏洞为例，来讲解这个攻击方法，但并不代表仅有这个安全软件存在漏洞，市面上大部分带防御驱动的安全产品都存在此漏洞。

很多安全防御软件在进行用户态内存的校验时，会使用 ProbeForRead函数，这个函数的源代码如下：

   if (Length != 0) {
        if (((ULONG_PTR)Address & (Alignment - 1)) != 0) {
            ExRaiseDatatypeMisalignment();

        } else if ((((ULONG_PTR)Address + Length) > (ULONG_PTR)MM_USER_PROBE_ADDRESS) ||
                   (((ULONG_PTR)Address + Length) < (ULONG_PTR)Address)) {

            *(volatile UCHAR * const)MM_USER_PROBE_ADDRESS = 0;
        }
    }

HookedNtCreateFile(....)

{

IncRefCnt(NT_CREATE_FILE_INDEX);

... //省略无关代码

__try

{

ProbeForRead(ObjectAttributes , sizeof(OBJECT_ATTRIBUTES) , 1);

ProbeForRead(ObjectAttributes->ObjectName , sizeof(UNICODE_STRING) , sizeof(WORD));

///省略无关代码

}

__except(EXCEPTION_EXECUTE_HANDLER)

{

bPassRequest = TRUE ;

}

if (bPassRequest)

{

///此处调用原始函数，放行操作

}

登录后可查看完整内容

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

上传的附件：

tt1.JPG （68.69kb，1528次下载）
killmdfile.rar （14.58kb，125次下载）

收藏・23

免费・7

支持

最新回复 (40) 1 2 ▶
hccphcq 雪币： 92 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 158 粉丝 0 关注私信	hccphcq 2 楼膜拜啊，楼主实在太强悍了。得通知MD作者更新去了，还在用MD呢 2009-10-29 22:58 0
柴子雪币： 200 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	柴子 3 楼下载试用。有效，内流满面 2009-10-29 23:11 0
x敏m 雪币： 351 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 230 粉丝 0 关注私信	x敏m 4 楼强大，学习。。 2009-10-29 23:33 0
飘渺虚无雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 27 粉丝 0 关注私信	飘渺虚无 5 楼很好很强力。。。膜拜楼主。。。。 2009-10-29 23:41 0
Fido 雪币： 107 活跃值： (404) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 1019 粉丝 1 关注私信	Fido 6 楼牛逼......学习了.. 2009-10-30 00:19 0
echale 雪币： 205 活跃值： (12) 能力值： ( LV3，RANK：20 ) 在线值：发帖 25 回帖 101 粉丝 0 关注私信	echale 7 楼不知道能用在什么地方 2009-10-30 00:57 0
loveqqc 雪币： 276 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 226 粉丝 0 关注私信	loveqqc 8 楼这才是我们愿意看到的美机0011，原理+代码+分析赞一个。 2009-10-30 06:00 0
dplayer 雪币： 306 活跃值： (10) 能力值： ( LV5，RANK：60 ) 在线值：发帖 3 回帖 81 粉丝 0 关注私信	dplayer 1 9 楼小学生路过，学习下。。。 2009-10-30 08:07 0
zerostudy 雪币： 202 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 26 回帖 153 粉丝 0 关注私信	zerostudy 10 楼只能入来膜拜，，完全不明~~ 2009-10-30 08:17 0
我shaohui 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	我shaohui 11 楼作者已经更新了此bug 2009-10-30 12:10 0
riusksk 雪币： 433 活跃值： (1870) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 169 回帖 2648 粉丝 258 关注私信	riusksk 41 12 楼无法学习，只能膜拜！ 2009-10-30 12:35 0
sding 雪币： 239 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 64 粉丝 0 关注私信	sding 13 楼 BUG是更新了，但是想法值得学习 2009-10-30 12:44 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 24 关注私信	qihoocom 9 14 楼更新了也没用，想破随便破： http://hi.baidu.com/mj0011/blog/item/9cc6932656459f1d8b82a150.html 2009-10-30 13:58 0
zhgwldf 雪币： 233 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 29 粉丝 0 关注私信	zhgwldf 15 楼非常赞同。偶们菜鸟也可以演示一把了。 S大很勤奋的，看谁能扛到最后。 2009-10-30 15:47 0
zhgwldf 雪币： 233 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 29 粉丝 0 关注私信	zhgwldf 16 楼 MD已更新到2.4.3Final。真快啊。在虚拟机中测试了一下，已成功防御。 2009-10-30 15:57 0
instruder 雪币： 146 活跃值： (182) 能力值： ( LV13，RANK：220 ) 在线值：发帖 37 回帖 438 粉丝 5 关注私信	instruder 4 17 楼作者可否给个http://www.debugman.com这个的邀请吗哈,可以的话发我油箱把 834858875@qq.com 谢谢哈 2009-10-30 16:03 0
我shaohui 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	我shaohui 18 楼更新到2.4.3了,修复了已知的bug 2009-10-30 16:06 0
robar 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 87 粉丝 0 关注私信	robar 19 楼这样也行。膜拜 2009-10-30 16:47 0
木桩雪币： 296 活跃值： (89) 能力值： ( LV15，RANK：340 ) 在线值：发帖 13 回帖 241 粉丝 4 关注私信	木桩 8 20 楼很强大！字节对其引发的问题也能找到。之前看到 MS08-066 : Catching and fixing a ProbeForRead / ProbeForWrite bypass 中谈到的那个 ProbeForRead / ProbeForWrite 0长度bypass已经认为够神奇的了，原来还能这样... 2009-10-30 20:43 0
mszjk 雪币： 34 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 20 回帖 542 粉丝 0 关注私信	mszjk 21 楼给个网址~~ 2009-10-30 21:31 0
mszjk 雪币： 34 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 20 回帖 542 粉丝 0 关注私信	mszjk 22 楼看看~~~~ http://blogs.technet.com/srd/archive/2008/10/14/ms08-066-how-to-correctly-validate-and-capture-user-mode-data.aspx 2009-10-30 21:33 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 24 关注私信	qihoocom 9 23 楼又破了，都告诉你了 http://hi.baidu.com/mj0011/blog/item/6e5a22faca402414a9d31121.html 2009-10-30 21:49 0
dge 雪币： 622 活跃值： (65) 能力值： ( LV13，RANK：290 ) 在线值：发帖 11 回帖 251 粉丝 3 关注私信	dge 6 24 楼占楼学习。。。 2009-10-30 22:33 0
快雪时晴雪币： 370 活跃值： (15) 能力值： ( LV9，RANK：170 ) 在线值：发帖 34 回帖 2272 粉丝 1 关注私信	快雪时晴 4 25 楼太强了，又发现个大牛博客 2009-10-31 04:44 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

qihoocom

发帖

1165

回帖

420

RANK

关注

私信

他的文章

[原创]让天易love俯首称臣 --- 随意PEDIY 54450

关于我们

联系我们

企业服务

看雪公众号

最新回复 (40) 1 2 ▶
hccphcq 雪币： 92 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 158 粉丝 0 关注私信	hccphcq 2 楼膜拜啊，楼主实在太强悍了。得通知MD作者更新去了，还在用MD呢 2009-10-29 22:58 0
柴子雪币： 200 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	柴子 3 楼下载试用。有效，内流满面 2009-10-29 23:11 0
x敏m 雪币： 351 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 230 粉丝 0 关注私信	x敏m 4 楼强大，学习。。 2009-10-29 23:33 0
飘渺虚无雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 27 粉丝 0 关注私信	飘渺虚无 5 楼很好很强力。。。膜拜楼主。。。。 2009-10-29 23:41 0
Fido 雪币： 107 活跃值： (404) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 1019 粉丝 1 关注私信	Fido 6 楼牛逼......学习了.. 2009-10-30 00:19 0
echale 雪币： 205 活跃值： (12) 能力值： ( LV3，RANK：20 ) 在线值：发帖 25 回帖 101 粉丝 0 关注私信	echale 7 楼不知道能用在什么地方 2009-10-30 00:57 0
loveqqc 雪币： 276 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 226 粉丝 0 关注私信	loveqqc 8 楼这才是我们愿意看到的美机0011，原理+代码+分析赞一个。 2009-10-30 06:00 0
dplayer 雪币： 306 活跃值： (10) 能力值： ( LV5，RANK：60 ) 在线值：发帖 3 回帖 81 粉丝 0 关注私信	dplayer 1 9 楼小学生路过，学习下。。。 2009-10-30 08:07 0
zerostudy 雪币： 202 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 26 回帖 153 粉丝 0 关注私信	zerostudy 10 楼只能入来膜拜，，完全不明~~ 2009-10-30 08:17 0
我shaohui 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	我shaohui 11 楼作者已经更新了此bug 2009-10-30 12:10 0
riusksk 雪币： 433 活跃值： (1870) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 169 回帖 2648 粉丝 258 关注私信	riusksk 41 12 楼无法学习，只能膜拜！ 2009-10-30 12:35 0
sding 雪币： 239 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 64 粉丝 0 关注私信	sding 13 楼 BUG是更新了，但是想法值得学习 2009-10-30 12:44 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 24 关注私信	qihoocom 9 14 楼更新了也没用，想破随便破： http://hi.baidu.com/mj0011/blog/item/9cc6932656459f1d8b82a150.html 2009-10-30 13:58 0
zhgwldf 雪币： 233 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 29 粉丝 0 关注私信	zhgwldf 15 楼非常赞同。偶们菜鸟也可以演示一把了。 S大很勤奋的，看谁能扛到最后。 2009-10-30 15:47 0
zhgwldf 雪币： 233 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 29 粉丝 0 关注私信	zhgwldf 16 楼 MD已更新到2.4.3Final。真快啊。在虚拟机中测试了一下，已成功防御。 2009-10-30 15:57 0
instruder 雪币： 146 活跃值： (182) 能力值： ( LV13，RANK：220 ) 在线值：发帖 37 回帖 438 粉丝 5 关注私信	instruder 4 17 楼作者可否给个http://www.debugman.com这个的邀请吗哈,可以的话发我油箱把 834858875@qq.com 谢谢哈 2009-10-30 16:03 0
我shaohui 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	我shaohui 18 楼更新到2.4.3了,修复了已知的bug 2009-10-30 16:06 0
robar 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 87 粉丝 0 关注私信	robar 19 楼这样也行。膜拜 2009-10-30 16:47 0
木桩雪币： 296 活跃值： (89) 能力值： ( LV15，RANK：340 ) 在线值：发帖 13 回帖 241 粉丝 4 关注私信	木桩 8 20 楼很强大！字节对其引发的问题也能找到。之前看到 MS08-066 : Catching and fixing a ProbeForRead / ProbeForWrite bypass 中谈到的那个 ProbeForRead / ProbeForWrite 0长度bypass已经认为够神奇的了，原来还能这样... 2009-10-30 20:43 0
mszjk 雪币： 34 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 20 回帖 542 粉丝 0 关注私信	mszjk 21 楼给个网址~~ 2009-10-30 21:31 0
mszjk 雪币： 34 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 20 回帖 542 粉丝 0 关注私信	mszjk 22 楼看看~~~~ http://blogs.technet.com/srd/archive/2008/10/14/ms08-066-how-to-correctly-validate-and-capture-user-mode-data.aspx 2009-10-30 21:33 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 24 关注私信	qihoocom 9 23 楼又破了，都告诉你了 http://hi.baidu.com/mj0011/blog/item/6e5a22faca402414a9d31121.html 2009-10-30 21:49 0
dge 雪币： 622 活跃值： (65) 能力值： ( LV13，RANK：290 ) 在线值：发帖 11 回帖 251 粉丝 3 关注私信	dge 6 24 楼占楼学习。。。 2009-10-30 22:33 0
快雪时晴雪币： 370 活跃值： (15) 能力值： ( LV9，RANK：170 ) 在线值：发帖 34 回帖 2272 粉丝 1 关注私信	快雪时晴 4 25 楼太强了，又发现个大牛博客 2009-10-31 04:44 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复