首页
社区
课程
招聘
[原创]某杀毒文件监控引擎现文件名称白名单后门,安全软件安全思想在哪里?
发表于: 2010-12-8 16:06 4515

[原创]某杀毒文件监控引擎现文件名称白名单后门,安全软件安全思想在哪里?

2010-12-8 16:06
4515
HANDLE  GetOwnerProcessId()
{
char* ProcessName;
char* peb;
if(ProcessNameOffset)
{
  peb = (char*)IoGetCurrentProcess();
  ProcessName = peb + ProcessNameOffset;
  if(_stricmp(ProcessName,scaner_processname) == 0) return (HANDLE)2;
  if(_stricmp(ProcessName,watch_processname) == 0) return (HANDLE)3;
}
return 0;
}

某杀毒的文件监控驱动内核模块中对自己杀毒中的名称进行白名单过滤,众所周知,文件监控最主要是处理IRP_MJ_CREATE 与 IRP_MJ_CLEANUP 两个例程,而一般会为每一个监控的文件分配一个内存虚拟文件对象,而文件名白名单出现了,就意味着,如果病毒文件是同样的文件名,则文件监控驱动更本不起作用,很好很强大的文件名查杀和文件名过滤白名单。

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (2)
雪    币: 315
活跃值: (19)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
ProcessId = GetOwnerProcessId();
      if(ProcessId == (HANDLE)3 || ProcessId == (HANDLE)2 )
     {
          bRead = bCreate = FALSE;
     }
2010-12-8 16:08
0
雪    币: 315
活跃值: (19)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
来吧,各位随便下毒吧。
2010-12-8 16:09
0
游客
登录 | 注册 方可回帖
返回
//