[原创]某杀毒文件监控引擎现文件名称白名单后门，安全软件安全思想在哪里？-CTF对抗-看雪-安全社区|安全招聘|kanxue.com

[原创]某杀毒文件监控引擎现文件名称白名单后门，安全软件安全思想在哪里？

发表于: 2010-12-8 16:06 4514

[原创]某杀毒文件监控引擎现文件名称白名单后门，安全软件安全思想在哪里？

antime

2010-12-8 16:06

4514

HANDLE  GetOwnerProcessId()
{
char* ProcessName;
char* peb;
if(ProcessNameOffset)
{
  peb = (char*)IoGetCurrentProcess();
  ProcessName = peb + ProcessNameOffset;
  if(_stricmp(ProcessName,scaner_processname) == 0) return (HANDLE)2;
  if(_stricmp(ProcessName,watch_processname) == 0) return (HANDLE)3;
}
return 0;
}

某杀毒的文件监控驱动内核模块中对自己杀毒中的名称进行白名单过滤，众所周知，文件监控最主要是处理IRP_MJ_CREATE 与 IRP_MJ_CLEANUP 两个例程，而一般会为每一个监控的文件分配一个内存虚拟文件对象，而文件名白名单出现了，就意味着，如果病毒文件是同样的文件名，则文件监控驱动更本不起作用，很好很强大的文件名查杀和文件名过滤白名单。

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

收藏・0

免费・0

支持

最新回复 (2)
antime 雪币： 315 活跃值： (19) 能力值： ( LV2，RANK：10 ) 在线值：发帖 45 回帖 303 粉丝 0 关注私信	antime 2 楼 ProcessId = GetOwnerProcessId(); if(ProcessId == (HANDLE)3 \|\| ProcessId == (HANDLE)2 ) { bRead = bCreate = FALSE; } 2010-12-8 16:08 0
antime 雪币： 315 活跃值： (19) 能力值： ( LV2，RANK：10 ) 在线值：发帖 45 回帖 303 粉丝 0 关注私信	antime 3 楼来吧，各位随便下毒吧。 2010-12-8 16:09 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

antime

发帖

303

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (2)
antime 雪币： 315 活跃值： (19) 能力值： ( LV2，RANK：10 ) 在线值：发帖 45 回帖 303 粉丝 0 关注私信	antime 2 楼 ProcessId = GetOwnerProcessId(); if(ProcessId == (HANDLE)3 \|\| ProcessId == (HANDLE)2 ) { bRead = bCreate = FALSE; } 2010-12-8 16:08 0
antime 雪币： 315 活跃值： (19) 能力值： ( LV2，RANK：10 ) 在线值：发帖 45 回帖 303 粉丝 0 关注私信	antime 3 楼来吧，各位随便下毒吧。 2010-12-8 16:09 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复