[原创]共享段攻击 Shared Sections' Attacking-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]共享段攻击 Shared Sections' Attacking

发表于: 2011-8-21 21:26 24716

[原创]共享段攻击 Shared Sections' Attacking

cvcvxk

2011-8-21 21:26

24716

一般常见的某些软件喜欢使用HHOOK类钩子注入DLL,由于他们多数都抄了流行的那个典范代码中一些东西，比如共享段，对于共享段而言，丫是全宇宙可读可写啊（属性是0xD0000040）
于是一种新型的针对某些软件的某些部件的攻击方式诞生鸟~
这里以金山KSAFE的ksfmon.dll举个例子

IDA中打开的样子

我震惊的发现HHOOK~~
想到什么了？
对如果我们直接对丫进行XX
测试代码：

DWORD ptr=*(DWORD *)(GetModuleHandleA("ksfmon.dll")+0x139000+0x0C);
UnhookWindowsHookEx((HHOOK)ptr);

同类软件也存在类似的问题，比某那啥，某那啥~这里就不一一列举了~这种攻击有时候会造成杀毒软件直接崩溃退出（某XX的共享段清0后主进程自动退出），有的则造成监控状态异常~

[课程]FART 脱壳王！加量不加价！FART作者讲授！

上传的附件：

1.jpg （40.62kb，1529次下载）
2.jpg （19.64kb，1504次下载）

收藏・30

免费・7

支持

最新回复 (49) 1 2 ▶
instruder 雪币： 146 活跃值： (182) 能力值： ( LV13，RANK：220 ) 在线值：发帖 37 回帖 438 粉丝 5 关注私信	instruder 4 2 楼共享内存是攻击点啊呵呵还有管道 ipc 消息啥的 2011-8-21 21:32 0
ronging 雪币： 113 活跃值： (100) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 451 粉丝 0 关注私信	ronging 3 楼是指在自己的进程中load 这个DLL，然后改写这个地址就行？果然安全与方便就是天敌啊。 2011-8-21 22:11 0
dayang 雪币： 220 活跃值： (701) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 934 粉丝 1 关注私信	dayang 4 楼 0x139000+0x0C ASM不懂的人问句0x139000+0x0C,怎么来的？ 2011-8-21 22:32 0
Vsbat 雪币： 859 活跃值： (304) 能力值： ( LV11，RANK：180 ) 在线值：发帖 9 回帖 273 粉丝 4 关注私信	Vsbat 4 5 楼好东西~~好东西~~ 2011-8-21 22:35 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 6 楼 +0x139000是节的开始的偏移 +0x0C是那个hhk的偏移~ 2011-8-21 22:47 0
goddkiller 雪币： 485 活跃值： (78) 能力值： ( LV4，RANK：40 ) 在线值：发帖 9 回帖 346 粉丝 1 关注私信	goddkiller 7 楼膜拜学习 2011-8-21 22:58 0
drummer 雪币： 30 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 39 粉丝 0 关注私信	drummer 8 楼求问，那个hhk是用于hook的code不？ 2011-8-21 23:07 0
dayang 雪币： 220 活跃值： (701) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 934 粉丝 1 关注私信	dayang 9 楼感谢无敌的VXK指点！ +0x0C是那个hhk的偏移~ 那个hhk的偏移怎么算的？ 2011-8-21 23:12 0
instruder 雪币： 146 活跃值： (182) 能力值： ( LV13，RANK：220 ) 在线值：发帖 37 回帖 438 粉丝 5 关注私信	instruder 4 10 楼看图看出来的啊.. 2011-8-21 23:15 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 11 楼用IDA+人脑计算的~ 2011-8-21 23:15 0
jaysharp 雪币： 48 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	jaysharp 12 楼小白请教：这个节指的是哪个节？ 2011-8-21 23:20 0
jaysharp 雪币： 48 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	jaysharp 13 楼哦，图图终于打开了，原来是SH节 2011-8-21 23:21 0
广海混沌雪币： 220 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 272 粉丝 1 关注私信	广海混沌 14 楼呵呵不错不错 2011-8-21 23:38 0
whitefirer 雪币： 242 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 72 粉丝 0 关注私信	whitefirer 1 15 楼继续膜拜~~ 2011-8-21 23:39 0
枫叶飘雪币： 37 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 191 粉丝 0 关注私信	枫叶飘 16 楼金山的人是不是在加班了！ 2011-8-22 00:07 0
mszjk 雪币： 34 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 20 回帖 542 粉丝 0 关注私信	mszjk 17 楼看了下我N久没更新过的36蛋,发现6.8.2.1010也有这个.share段.不知道有没有这问题~ 2011-8-22 00:21 0
gezz 雪币： 88 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 186 粉丝 0 关注私信	gezz 18 楼膜拜膜拜 V大啊各种爆料啊~ 2011-8-22 00:41 0
yunsini 雪币： 292 活跃值： (347) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 29 粉丝 0 关注私信	yunsini 19 楼这个GetModuleHandle总是返回0呀。。。如何获取其他进程模块的基地址呀？ 2011-8-22 01:13 0
tihty 雪币： 27 活跃值： (90) 能力值： ( LV8，RANK：120 ) 在线值：发帖 29 回帖 1095 粉丝 3 关注私信	tihty 2 20 楼向v校学习.. 2011-8-22 01:24 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 21 楼 ksfmon.dll会主动注入某写进程，你只要是那些被注入的就好了~ 2011-8-22 03:51 0
Loka 雪币： 993 活跃值： (442) 能力值： ( LV12，RANK：403 ) 在线值：发帖 23 回帖 131 粉丝 0 关注私信	Loka 2 22 楼不怕没办法就怕没思路 V校强大啊~~~~~~~ 2011-8-22 09:27 0
莫灰灰雪币： 2177 活跃值： (2045) 能力值： (RANK：400 ) 在线值：发帖 22 回帖 710 粉丝 46 关注私信	莫灰灰 9 23 楼太强大了。。。各种猥琐技巧啊。 2011-8-22 09:33 0
代码疯子雪币： 270 活跃值： (97) 能力值： ( LV8，RANK：140 ) 在线值：发帖 22 回帖 423 粉丝 1 关注私信	代码疯子 3 24 楼膜拜 2011-8-22 09:48 0
dayang 雪币： 220 活跃值： (701) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 934 粉丝 1 关注私信	dayang 25 楼 ksfmon.dll会主动注入某写进程，你只要是那些被注入的就好了~ 自己Loadlibrary这个ksfmon.dll，行不？ 2011-8-22 09:51 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

cvcvxk

125

发帖

3095

回帖

760

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (49) 1 2 ▶
instruder 雪币： 146 活跃值： (182) 能力值： ( LV13，RANK：220 ) 在线值：发帖 37 回帖 438 粉丝 5 关注私信	instruder 4 2 楼共享内存是攻击点啊呵呵还有管道 ipc 消息啥的 2011-8-21 21:32 0
ronging 雪币： 113 活跃值： (100) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 451 粉丝 0 关注私信	ronging 3 楼是指在自己的进程中load 这个DLL，然后改写这个地址就行？果然安全与方便就是天敌啊。 2011-8-21 22:11 0
dayang 雪币： 220 活跃值： (701) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 934 粉丝 1 关注私信	dayang 4 楼 0x139000+0x0C ASM不懂的人问句0x139000+0x0C,怎么来的？ 2011-8-21 22:32 0
Vsbat 雪币： 859 活跃值： (304) 能力值： ( LV11，RANK：180 ) 在线值：发帖 9 回帖 273 粉丝 4 关注私信	Vsbat 4 5 楼好东西~~好东西~~ 2011-8-21 22:35 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 6 楼 +0x139000是节的开始的偏移 +0x0C是那个hhk的偏移~ 2011-8-21 22:47 0
goddkiller 雪币： 485 活跃值： (78) 能力值： ( LV4，RANK：40 ) 在线值：发帖 9 回帖 346 粉丝 1 关注私信	goddkiller 7 楼膜拜学习 2011-8-21 22:58 0
drummer 雪币： 30 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 39 粉丝 0 关注私信	drummer 8 楼求问，那个hhk是用于hook的code不？ 2011-8-21 23:07 0
dayang 雪币： 220 活跃值： (701) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 934 粉丝 1 关注私信	dayang 9 楼感谢无敌的VXK指点！ +0x0C是那个hhk的偏移~ 那个hhk的偏移怎么算的？ 2011-8-21 23:12 0
instruder 雪币： 146 活跃值： (182) 能力值： ( LV13，RANK：220 ) 在线值：发帖 37 回帖 438 粉丝 5 关注私信	instruder 4 10 楼看图看出来的啊.. 2011-8-21 23:15 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 11 楼用IDA+人脑计算的~ 2011-8-21 23:15 0
jaysharp 雪币： 48 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	jaysharp 12 楼小白请教：这个节指的是哪个节？ 2011-8-21 23:20 0
jaysharp 雪币： 48 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	jaysharp 13 楼哦，图图终于打开了，原来是SH节 2011-8-21 23:21 0
广海混沌雪币： 220 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 272 粉丝 1 关注私信	广海混沌 14 楼呵呵不错不错 2011-8-21 23:38 0
whitefirer 雪币： 242 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 72 粉丝 0 关注私信	whitefirer 1 15 楼继续膜拜~~ 2011-8-21 23:39 0
枫叶飘雪币： 37 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 191 粉丝 0 关注私信	枫叶飘 16 楼金山的人是不是在加班了！ 2011-8-22 00:07 0
mszjk 雪币： 34 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 20 回帖 542 粉丝 0 关注私信	mszjk 17 楼看了下我N久没更新过的36蛋,发现6.8.2.1010也有这个.share段.不知道有没有这问题~ 2011-8-22 00:21 0
gezz 雪币： 88 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 186 粉丝 0 关注私信	gezz 18 楼膜拜膜拜 V大啊各种爆料啊~ 2011-8-22 00:41 0
yunsini 雪币： 292 活跃值： (347) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 29 粉丝 0 关注私信	yunsini 19 楼这个GetModuleHandle总是返回0呀。。。如何获取其他进程模块的基地址呀？ 2011-8-22 01:13 0
tihty 雪币： 27 活跃值： (90) 能力值： ( LV8，RANK：120 ) 在线值：发帖 29 回帖 1095 粉丝 3 关注私信	tihty 2 20 楼向v校学习.. 2011-8-22 01:24 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 21 楼 ksfmon.dll会主动注入某写进程，你只要是那些被注入的就好了~ 2011-8-22 03:51 0
Loka 雪币： 993 活跃值： (442) 能力值： ( LV12，RANK：403 ) 在线值：发帖 23 回帖 131 粉丝 0 关注私信	Loka 2 22 楼不怕没办法就怕没思路 V校强大啊~~~~~~~ 2011-8-22 09:27 0
莫灰灰雪币： 2177 活跃值： (2045) 能力值： (RANK：400 ) 在线值：发帖 22 回帖 710 粉丝 46 关注私信	莫灰灰 9 23 楼太强大了。。。各种猥琐技巧啊。 2011-8-22 09:33 0
代码疯子雪币： 270 活跃值： (97) 能力值： ( LV8，RANK：140 ) 在线值：发帖 22 回帖 423 粉丝 1 关注私信	代码疯子 3 24 楼膜拜 2011-8-22 09:48 0
dayang 雪币： 220 活跃值： (701) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 934 粉丝 1 关注私信	dayang 25 楼 ksfmon.dll会主动注入某写进程，你只要是那些被注入的就好了~ 自己Loadlibrary这个ksfmon.dll，行不？ 2011-8-22 09:51 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复