首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 二进制漏洞
    3. 发新帖
5
[原创]QQProtect驱动保护目录跟踪漏洞详细分析(9月22日更新)
发表于: 2013-9-20 19:43 9340

[原创]QQProtect驱动保护目录跟踪漏洞详细分析(9月22日更新)

hackerlzc 活跃值
10
2013-9-20 19:43
9340
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
NTSTATUS
NTAPI
studZwSetInformationFile(
    IN HANDLE  FileHandle,
    OUT PIO_STATUS_BLOCK  IoStatusBlock,
    IN PVOID  FileInformation,
    IN ULONG  Length,
    IN FILE_INFORMATION_CLASS  FileInformationClass
    )
{
    NTSTATUS        status = STATUS_UNSUCCESSFUL;
    BOOLEAN         bProtect = FALSE;
    PWSTR           NewQQPathDir = NULL;
  
    bProtect = CheckAndRecordRenameInfor(
                    FileHandle,
                    IoStatusBlock,
                    FileInformation,
                    Length,
                    FileInformationClass,
                    &NewQQPathDir );
    if( bProtect )
    {
        status = STATUS_ACCESS_DENIED;
        goto exit;
    }
    else
    {
        PZWSETINFORMATIONFILE OrgFuncAddr = (PZWSETINFORMATIONFILE)
            g_BaseHookTbl[ BaseHookId_ZwSetInformationFile ].OriginalFuncAddress;
        if( !OrgFuncAddr || !MmIsAddressValid( OrgFuncAddr))
        {
            if( g_Org_Ssdt_Func_table != NULL &&
                (LONG)g_BaseHookTbl[ BaseHookId_ZwSetInformationFile ].IndexInSsdt >= 0 &&
                g_BaseHookTbl[ BaseHookId_ZwSetInformationFile ].IndexInSsdt < KeServiceDescriptorTable.NumberOfServices)
            {
                OrgFuncAddr = (PZWSETINFORMATIONFILE)g_Org_Ssdt_Func_table[ g_BaseHookTbl[ BaseHookId_ZwSetInformationFile ].IndexInSsdt];
                if( !OrgFuncAddr )
                    OrgFuncAddr = (PZWSETINFORMATIONFILE)g_BaseHookTbl[ BaseHookId_ZwSetInformationFile ].OriginalFuncAddress;
            }
        }
        status = OrgFuncAddr( FileHandle,
                    IoStatusBlock,
                    FileInformation,
                    Length,
                    FileInformationClass);
  
        if( FileInformationClass = FileRenameInformation && NT_SUCCESS( status ))
        {
            if( !NewQQPathDir )
                return status;
            SetNewQQPathAndProtectExePathInReg( NewQQPathDir );
        }
    }//end if  bProtec else
  
  
exit:
    if( NewQQPathDir )
        ExFreePool( NewQQPathDir );
  
    return status;
}
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
BOOLEAN
NTAPI
CheckAndRecordRenameInfor(
    IN HANDLE  FileHandle,
    OUT PIO_STATUS_BLOCK  IoStatusBlock,
    IN PVOID  FileInformation,
    IN ULONG  Length,
    IN FILE_INFORMATION_CLASS  FileInformationClass,
    OUT PWSTR   *NewQQPathDir)
/*++
  
NOTE:
    the caller must call ExFreePool to free the memory that returned by NewQQPathDir
--*/
{
    WCHAR               FileName[MAX_UNICODE_STRING_CHARS + 1 ] = {0};
    IO_STATUS_BLOCK     ioStatusBlock = {0};
    FILE_STANDARD_INFORMATION FileInfor = {0};
    HANDLE              hFile = 0;
    BOOLEAN             bResult = FALSE;
    ULONG               chars = 0,bytes = 0,current_pid = 0;
    REGISTRY_DB_HELPER_DATA HelperData = {0};
  
    if( !g_bFileMon ||
        !(g_GlobalControlBlock.MonFlag & 0x10) ||
        ( FileInformationClass != FileRenameInformation &&
           FileInformationClass != FileLinkInformation &&
           FileInformationClass != FileDispositionInformation &&
           FileInformationClass != FileAllocationInformation) ||
        ExGetPreviousMode() == KernelMode ||
        FileHandle == 0 ||
        IsProcessInList5AndBelievable( current_pid = (ULONG)PsGetCurrentProcessId(),6,NULL )
      )
    {
        goto exit;
    }
  
    if( !NT_SUCCESS( DuplicateHandle( FileHandle,*IoFileObjectType,&hFile)))
        goto exit;
    if( !NT_SUCCESS( ZwQueryInformationFile( hFile,
                                             &ioStatusBlock,
                                             &FileInfor,
                                             sizeof(FileInfor),
                                             FileStandardInformation)))
        goto exit;
    if( FileInfor.DeletePending == TRUE )
        goto exit;
  
    bResult = GetFileDosDeviceNameByHandle( FileHandle,FileName,MAX_UNICODE_STRING_CHARS);
    if( !bResult )
        goto exit;
  
    AdjustPathString( FileName,MAX_UNICODE_STRING_CHARS );
    chars = wcslen( FileName );
    if( FileName[ chars - 1 ] == L'\\')
        FileName[ chars - 1 ] = L'\0';
  
    __try{
    HelperData.Unknown2 = 4;
    HelperData.Flags = FileInformationClass;
    HelperData.Pid = current_pid;
    bResult = IsFileNameProtectedFile( FileName,MAX_UNICODE_STRING_CHARS,0,&HelperData);
    }__except( EXCEPTION_EXECUTE_HANDLER )
    {
        KdPrint(("Exception occurred in CheckAndRecordRenameInfor 1 \n"));
    }
  
    if( bResult ||
        FileInformationClass != FileRenameInformation ||
        FileInformation == NULL )
        goto exit;
  
    __try{
    VerifyAndHashMemory( FileInformation,sizeof(FILE_RENAME_INFORMATION),4 );
    bytes = ((PFILE_RENAME_INFORMATION)FileInformation)->FileNameLength;
    if( bytes )
    {
        VerifyAndHashMemory( ((PFILE_RENAME_INFORMATION)FileInformation)->FileName,
                              bytes,
                              sizeof(WCHAR));
        if( !IsFileDirectory( hFile ) ||
            !(bResult = IsDirectoryInQQSubBinDirTbl( FileName,MAX_UNICODE_STRING_CHARS)) &&
            !(bResult = IsDirectoryInMyProtectedDataFileDir(
                ((PFILE_RENAME_INFORMATION)FileInformation)->FileName,bytes / sizeof(WCHAR)))
        )
        {
            AdjustPathString( ((PFILE_RENAME_INFORMATION)FileInformation)->FileName,
                                (USHORT)(bytes / sizeof(WCHAR)));
            MakeNewQQPathDir( FileName,
                              ((PFILE_RENAME_INFORMATION)FileInformation)->FileName,
                              bytes / sizeof(WCHAR),
                              NewQQPathDir );
        }
    }//end if bytes
    }__except(EXCEPTION_EXECUTE_HANDLER )
    {
        KdPrint(("Exception occurred in CheckAndRecordRenameInfor 2 \n"));
    }
  
exit:
    if( hFile )
    {
        ZwClose( hFile );
        hFile = 0;
    }
    if( bResult )
        RecordRequestFileInfor( 6,current_pid,FileName,MAX_UNICODE_STRING_CHARS,4,FALSE );
  
    return bResult;
}

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 5
支持
分享
赞赏记录
参与人
雪币
留言
时间
心游尘世外
为你点赞~
2024-5-31 06:29
QinBeast
为你点赞~
2024-5-31 06:20
飘零丶
为你点赞~
2024-4-3 01:00
shinratensei
为你点赞~
2024-3-7 02:06
PLEBFE
为你点赞~
2023-3-5 04:18
最新回复 (35)
Yecate
雪    币: 127
活跃值: (3148)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
求快递公仔 求包邮
2013-9-20 19:48
0
Speeday
雪    币: 458
活跃值: (306)
能力值: ( LV12,RANK:400 )
在线值:
发帖
回帖
粉丝
私信
3
学习一下。
2013-9-20 20:02
0
xyzjanker
雪    币: 100
活跃值: (15)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
呵呵,以前写目录保护的驱动也碰到这个问题,就是父目录匹配欠考虑!
2013-9-20 20:10
0
熊猫正正
雪    币: 2562
活跃值: (4283)
能力值: ( LV13,RANK:540 )
在线值:
发帖
回帖
粉丝
私信
5
学习,谢谢分享
2013-9-20 21:00
0
achillis
雪    币: 7651
活跃值: (523)
能力值: ( LV9,RANK:610 )
在线值:
发帖
回帖
粉丝
私信
6
前来支持楼主!!!坚持做完不容易
2013-9-20 21:06
0
邓韬
雪    币: 278
活跃值: (709)
能力值: ( LV15,RANK:520 )
在线值:
发帖
回帖
粉丝
私信
7
......数字用户公司的悲剧,谁叫它是腾讯呢?
2013-9-20 21:08
0
邓韬
雪    币: 278
活跃值: (709)
能力值: ( LV15,RANK:520 )
在线值:
发帖
回帖
粉丝
私信
8
BTW:楼主联系我一下?
2013-9-20 21:09
0
evilor
雪    币: 297
活跃值: (280)
能力值: ( LV4,RANK:55 )
在线值:
发帖
回帖
粉丝
私信
9
好文 Mark
2013-9-20 21:37
0
xJJuno
雪    币: 13911
活跃值: (4911)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
10
500KX哪里能换公仔?
2013-9-20 21:47
0
swlilike
雪    币: 89
活跃值: (53)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
11
好像是以前,论坛有一个这样的活动。
2013-9-20 21:56
0
PPTV
雪    币: 9964
活跃值: (2821)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
12
弱弱的问下,突破了QQ驱动保护的漏洞会怎样?
2013-9-20 22:02
0
天高
雪    币: 623
活跃值: (40)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
私信
13
mark
2013-9-20 22:06
0
hunxiaozi
雪    币: 204
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
14
想不到原来漏洞还可以这样
2013-9-20 23:33
0
JoySauce
雪    币: 341
活跃值: (85)
能力值: ( LV5,RANK:70 )
在线值:
发帖
回帖
粉丝
私信
15
广告位招租
2013-9-20 23:37
0
topofall
雪    币: 124
活跃值: (494)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
16
过保护吗、、、、、、
2013-9-21 01:20
0
tihty
雪    币: 27
活跃值: (122)
能力值: ( LV8,RANK:120 )
在线值:
发帖
回帖
粉丝
私信
17
好文章,阅读学习
2013-9-21 09:24
0
tishion
雪    币: 496
活跃值: (311)
能力值: ( LV13,RANK:400 )
在线值:
发帖
回帖
粉丝
私信
18
好文,不过你提交给厂商了么,为啥厂商没有处理呢?

建议以后先提交厂商,厂商修复再拿出来分享。。。
2013-9-21 10:43
0
八十客车
雪    币: 245
活跃值: (13)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
19
谢谢楼主分享
2013-9-21 12:31
0
快雪时晴
雪    币: 370
活跃值: (15)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
私信
20
公仔是小孩子玩具、布娃娃一类?有没有智能点的
这个绕开驱动保护后,可以有哪些利用呢
这么隐蔽的bug怎么就发现的,,,

度娘告诉我:
腾讯安全应急响应中心,Tencent Security Response Center,TSRC.
2013-9-21 13:58
0
稻草人Z
雪    币: 680
活跃值: (68)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
私信
21
标记下
2013-9-21 15:05
0
hackerlzc
雪    币: 1689
活跃值: (379)
能力值: ( LV15,RANK:440 )
在线值:
发帖
回帖
粉丝
私信
22
大家都来讨论一下最后那个问题吧。
2013-9-22 06:30
0
songbeibei
雪    币: 194
活跃值: (286)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
23
顶个。。
2013-9-22 11:06
0
riusksk
雪    币: 433
活跃值: (1885)
能力值: ( LV17,RANK:1820 )
在线值:
发帖
回帖
粉丝
私信
24
非常感谢hackerlzc童鞋的漏洞,其他童鞋如有腾讯相关产品的漏洞可通过TSRC平台提交给我们,平台链接:http://security.tencent.com
经确认的漏洞可获得安全币,用安全币可兑换很多礼品,包括mac、单反、ipad等,具体见:http://security.tencent.com/index.php/shop
2013-9-22 12:48
0
ddlx
雪    币: 541
活跃值: (654)
能力值: ( LV12,RANK:250 )
在线值:
发帖
回帖
粉丝
私信
25
看的我也想弄个公仔玩玩,楼主,分析漏洞有哪些技巧啊
2013-9-22 14:29
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回

账号登录
验证码登录

忘记密码?
没有账号?立即免费注册
我已同意 《看雪服务条款》 《看雪课程免责声明》 《看雪隐私政策》