首页
社区
课程
招聘
[转帖]龙天帝国实录-Ring3技术无驱动击溃杀毒主动防御系统
发表于: 2013-8-21 00:57 3913

[转帖]龙天帝国实录-Ring3技术无驱动击溃杀毒主动防御系统

2013-8-21 00:57
3913
[序言]
其实我很久没有刻意去研究任何Windows系统的漏洞以及未公开技术了, 只是有时在特定的需求下, 才会去挖掘新的东西. 但今日也就是2013年08月19日, 我朋友意外的一次发现并破解了Windows系统某个核心组件的运行机制, 就在QQ留言跟我说:"给你一个漏洞, 看看有没有利用的可能."

备注: 我朋友同时也是国内水平较高的白帽黑客, 跟他合作好几年了, 这几年跟他配合发现了4~5个高危级别漏洞/未公开技术.

[无心插柳, 柳成荫]
当时该朋友QQ留言跟我说:"给你一个漏洞, 看看有没有利用的可能.", 我还在看"中国好声音",我说:"这漏洞有什么特别吗?"(PS: 当时很敷衍, 因为我现在的工作重点不在内核安全研发了)
他接着说:"哎呀, 是这样的, 这个漏洞工作方式是xxxxxxxxxxxxxxxxxxxxxxxxxxx....".(PS: 省略未公开技术介绍)
听完我就说:"你牛B了, 严格意义上这个不是漏洞, 这个是Windows系统未公开的技术规范, 你怎么找到的? "
他说:"我在解决软件Bug的时候, 发现的."
我惊呼:"你真是人品爆发了, 可以领微软大红花了."
他说:"可惜这个漏洞不是chrome, 不然去领 chrome大红花, 5W美金哦."
我说:"我们是白帽黑客, 怎么能总是想着钱. 有时多一事不如少一事, 要支持法律的正确性和道德原则, 绝不做不正当的交易."
他说:"那你看看这个未公开技术, 价值如何, 写个demo"
我说:"我考, 我绝对是帮你打工... 好吧"

[开始分析方案, 选择测试对象]
经过详细的技术细节讨论, 我们选择了国内知名的杀毒软件厂商360来做测试对象, 因为该厂商的用户群庞大, 而且拥有国内顶尖的开发团队, 挑战他们才是黑客想要做的事情, 我们都喜欢强者与强者的较量. 因为我们初步了解这个未公开技术只属于本地范围运作机制, 而且还是核心组件, 应该可以顺利绕过这些安全厂商的监控程序. 开始我选择Ring3方案来绕过, 结果我朋友不看好, 以为他认为360杀毒/360安全卫士的会防范得很彻底, 估计无法绕过. 我说:"测试一下嘛, 不行再要你的方案."

[开始动手写代码]
我只能说这个未公开技术的使用太简单了, demo的开发核心代码不超过30行. 刚开始确实轻敌360杀毒/360安全卫士的防范了, 第一版的demo没有能100%绕过. 后来认真思考了一下, 猜想是XXXXX原因引起的. 因此改进了一下demo, 结果成功了. 在Windows7 32Bit环境下成功击溃360杀毒/360安全卫士的主动防御系统. 太爽了, 很久没有这种激情了...马上打电话给我朋友说:"我强奸成功了...高潮起伏." 这WIndows系统的未公开技术实在牛了, 危害性太大了.

[不要被胜利冲昏了头]
往往人一时脑热就会不顾任何风险的透露技术细节, 经过短暂的高潮之后, 我们还是严格按照白帽黑客的自我约束力, 不会公布任何技术细节, 除非时机非常的成熟. 更不会拿去做灰色交易, 不想因此而断了自己前途.

[未公开技术细节]
此技术适用于绕过大多数杀毒软件的主动防御系统, 跟360杀毒/360安全卫士没有特定任何联系.

[感谢]
此次技术的贡献力度,当然还是归属于我的朋友, 我只是打工的. 等他认为时机合适了, 我会重新把文章署名给他.

[白帽黑客自我约束声明]
本技术一切细节, 不会暂时不会对外公开, 也不会进行灰色交易. 仅进行我们自身白帽黑客团队的内部交流和学习, 请见谅...

[演示声明]
本演示:通过利用未公开的技术规范, 在Windows系统的Ring3环境下让360杀毒/360安全卫士的主动防御系统失效.

[演示图片]

视频演示:http://pan.baidu.com/share/link?shareid=790289437&uk=3073355117 密码:cgw8   解压密码龙天帝国的官网网址

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 0
支持
分享
最新回复 (19)
雪    币: 219
活跃值: (773)
能力值: (RANK:290 )
在线值:
发帖
回帖
粉丝
2
亮瞎我的眼睛了  他可以先 白话名 在运行他的程序,在r0吧注册表全部删除 pass掉object hook
看到XXX我想到了 鬼影
2013-8-21 01:02
0
雪    币: 129
活跃值: (2753)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
话说 以后写代码能不准备一个写好的记事本 照抄么
2013-8-21 01:03
0
雪    币: 400
活跃值: (753)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
4
围观。。。。。
2013-8-21 01:14
0
雪    币: 9
活跃值: (41)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
不放出来不知真假,貌似xx的样子,就当看广告吧......
2013-8-21 01:16
0
雪    币: 76
活跃值: (114)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
板凳~~~
2013-8-21 01:17
0
雪    币: 65
活跃值: (112)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
7
[QUOTE=hacklcx;1212670][序言]
其实我很久没有刻意去研究任何Windows系统的漏洞以及未公开技术了, 只是有时在特定的需求下, 才会去挖掘新的东西. 但今日也就是2013年08月19日, 我朋友意外的一次发现并破解了Windows系统某个核心组件的运行机制, 就在QQ留言跟我说:"给你一个漏洞, 看看有没有...[/QUOTE]

这种东西,一旦被抓到,就会永久失效。

倒也算不得怎么样吧
2013-8-21 01:25
0
雪    币: 65
活跃值: (112)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
8
[QUOTE=hacklcx;1212670][序言]
其实我很久没有刻意去研究任何Windows系统的漏洞以及未公开技术了, 只是有时在特定的需求下, 才会去挖掘新的东西. 但今日也就是2013年08月19日, 我朋友意外的一次发现并破解了Windows系统某个核心组件的运行机制, 就在QQ留言跟我说:"给你一个漏洞, 看看有没有...[/QUOTE]

再者,你试试先把你的那个console关了再重启不。。。。
2013-8-21 01:38
0
雪    币: 1423
活跃值: (702)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
LCX?
2013-8-21 08:29
0
雪    币: 581
活跃值: (149)
能力值: ( LV12,RANK:600 )
在线值:
发帖
回帖
粉丝
10
不公开你写这么多东西放个视频都不知道要干嘛
2013-8-21 08:36
0
雪    币: 129
活跃值: (2753)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
Just to show off
2013-8-21 08:48
0
雪    币: 244
活跃值: (454)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
12
牛逼的win安全专家已经沦落到需要在网上发布这种视频来吸引菜鸟眼球了??
2013-8-21 08:57
0
雪    币: 86
活跃值: (25)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
13
我来满足你的欲望吧  ...
好棒哟,好棒哟,yeal ,yeal 大牛好棒哟......
2013-8-21 08:57
0
雪    币: 297
活跃值: (265)
能力值: ( LV4,RANK:55 )
在线值:
发帖
回帖
粉丝
14
亮瞎我我了
尼玛标题党
文章写这么长全是在扯淡,一点有用的东西都没有
2013-8-21 09:14
0
雪    币: 602
活跃值: (45)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
15
广告贴吧,来买哦,我这里有新鲜的过**技术一个,新鲜热乎刚出炉的,来完了就没了.
2013-8-21 09:40
0
雪    币: 45
活跃值: (124)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
16
来看看新技术
2013-8-21 10:11
0
雪    币: 257
活跃值: (67)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
17
来围观一下,谢谢分享...
2013-8-21 10:32
0
雪    币: 155
活跃值: (20)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
18
1.光发视频的标题党

2.360是云主防你断网来测个毛。
2013-8-21 11:26
0
雪    币: 1746
活跃值: (2182)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
19
引用论坛名句:没code说个JB
2013-8-21 11:41
0
雪    币: 142
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
20
哈哈,围观.
又来忽悠小白了吧.
2013-8-21 12:00
0
游客
登录 | 注册 方可回帖
返回
//