[原创]QQProtect驱动保护目录跟踪漏洞详细分析(9月22日更新）-二进制漏洞-看雪-安全社区|安全招聘|kanxue.com

[原创]QQProtect驱动保护目录跟踪漏洞详细分析(9月22日更新）

发表于: 2013-9-20 19:43 8892

[原创]QQProtect驱动保护目录跟踪漏洞详细分析(9月22日更新）

hackerlzc

2013-9-20 19:43

8892

NTSTATUS 
NTAPI
studZwSetInformationFile(
    IN HANDLE  FileHandle,
    OUT PIO_STATUS_BLOCK  IoStatusBlock,
    IN PVOID  FileInformation,
    IN ULONG  Length,
    IN FILE_INFORMATION_CLASS  FileInformationClass
    )
{
    NTSTATUS        status = STATUS_UNSUCCESSFUL;
    BOOLEAN         bProtect = FALSE;
    PWSTR           NewQQPathDir = NULL;
 
    bProtect = CheckAndRecordRenameInfor(
                    FileHandle,
                    IoStatusBlock,
                    FileInformation,
                    Length,
                    FileInformationClass,
                    &NewQQPathDir );
    if( bProtect )
    {
        status = STATUS_ACCESS_DENIED;
        goto exit;
    }
    else
    {
        PZWSETINFORMATIONFILE OrgFuncAddr = (PZWSETINFORMATIONFILE)
            g_BaseHookTbl[ BaseHookId_ZwSetInformationFile ].OriginalFuncAddress;
        if( !OrgFuncAddr || !MmIsAddressValid( OrgFuncAddr))
        {
            if( g_Org_Ssdt_Func_table != NULL &&
                (LONG)g_BaseHookTbl[ BaseHookId_ZwSetInformationFile ].IndexInSsdt >= 0 &&
                g_BaseHookTbl[ BaseHookId_ZwSetInformationFile ].IndexInSsdt < KeServiceDescriptorTable.NumberOfServices)
            {
                OrgFuncAddr = (PZWSETINFORMATIONFILE)g_Org_Ssdt_Func_table[ g_BaseHookTbl[ BaseHookId_ZwSetInformationFile ].IndexInSsdt];
                if( !OrgFuncAddr )
                    OrgFuncAddr = (PZWSETINFORMATIONFILE)g_BaseHookTbl[ BaseHookId_ZwSetInformationFile ].OriginalFuncAddress;
            }
        }
        status = OrgFuncAddr( FileHandle,
                    IoStatusBlock,
                    FileInformation,
                    Length,
                    FileInformationClass);
 
        if( FileInformationClass = FileRenameInformation && NT_SUCCESS( status ))
        {
            if( !NewQQPathDir )
                return status;
            SetNewQQPathAndProtectExePathInReg( NewQQPathDir );
        }
    }//end if  bProtec else
 
 
exit:
    if( NewQQPathDir )
        ExFreePool( NewQQPathDir );
 
    return status;
}

BOOLEAN
NTAPI
CheckAndRecordRenameInfor(
    IN HANDLE  FileHandle,
    OUT PIO_STATUS_BLOCK  IoStatusBlock,
    IN PVOID  FileInformation,
    IN ULONG  Length,
    IN FILE_INFORMATION_CLASS  FileInformationClass,
    OUT PWSTR   *NewQQPathDir)
/*++
 
NOTE:
    the caller must call ExFreePool to free the memory that returned by NewQQPathDir
--*/
{
    WCHAR               FileName[MAX_UNICODE_STRING_CHARS + 1 ] = {0};
    IO_STATUS_BLOCK     ioStatusBlock = {0};
    FILE_STANDARD_INFORMATION FileInfor = {0};
    HANDLE              hFile = 0;
    BOOLEAN             bResult = FALSE;
    ULONG               chars = 0,bytes = 0,current_pid = 0;
    REGISTRY_DB_HELPER_DATA HelperData = {0};
 
    if( !g_bFileMon ||
        !(g_GlobalControlBlock.MonFlag & 0x10) ||
        ( FileInformationClass != FileRenameInformation &&
           FileInformationClass != FileLinkInformation &&
           FileInformationClass != FileDispositionInformation &&
           FileInformationClass != FileAllocationInformation) ||
        ExGetPreviousMode() == KernelMode ||
        FileHandle == 0 ||
        IsProcessInList5AndBelievable( current_pid = (ULONG)PsGetCurrentProcessId(),6,NULL )
      )
    {
        goto exit;
    }
 
    if( !NT_SUCCESS( DuplicateHandle( FileHandle,*IoFileObjectType,&hFile)))
        goto exit;
    if( !NT_SUCCESS( ZwQueryInformationFile( hFile,
                                             &ioStatusBlock,
                                             &FileInfor,
                                             sizeof(FileInfor),
                                             FileStandardInformation)))
        goto exit;
    if( FileInfor.DeletePending == TRUE )
        goto exit;
 
    bResult = GetFileDosDeviceNameByHandle( FileHandle,FileName,MAX_UNICODE_STRING_CHARS);
    if( !bResult )
        goto exit;
 
    AdjustPathString( FileName,MAX_UNICODE_STRING_CHARS );
    chars = wcslen( FileName );
    if( FileName[ chars - 1 ] == L'\\')
        FileName[ chars - 1 ] = L'\0';
 
    __try{
    HelperData.Unknown2 = 4;
    HelperData.Flags = FileInformationClass;
    HelperData.Pid = current_pid;
    bResult = IsFileNameProtectedFile( FileName,MAX_UNICODE_STRING_CHARS,0,&HelperData);
    }__except( EXCEPTION_EXECUTE_HANDLER )
    {
        KdPrint(("Exception occurred in CheckAndRecordRenameInfor 1 \n"));
    }
 
    if( bResult || 
        FileInformationClass != FileRenameInformation ||
        FileInformation == NULL )
        goto exit;
 
    __try{
    VerifyAndHashMemory( FileInformation,sizeof(FILE_RENAME_INFORMATION),4 );
    bytes = ((PFILE_RENAME_INFORMATION)FileInformation)->FileNameLength;
    if( bytes )
    {
        VerifyAndHashMemory( ((PFILE_RENAME_INFORMATION)FileInformation)->FileName,
                              bytes,
                              sizeof(WCHAR));
        if( !IsFileDirectory( hFile ) ||
            !(bResult = IsDirectoryInQQSubBinDirTbl( FileName,MAX_UNICODE_STRING_CHARS)) &&
            !(bResult = IsDirectoryInMyProtectedDataFileDir(
                ((PFILE_RENAME_INFORMATION)FileInformation)->FileName,bytes / sizeof(WCHAR)))
        )
        {
            AdjustPathString( ((PFILE_RENAME_INFORMATION)FileInformation)->FileName,
                                (USHORT)(bytes / sizeof(WCHAR)));
            MakeNewQQPathDir( FileName,
                              ((PFILE_RENAME_INFORMATION)FileInformation)->FileName,
                              bytes / sizeof(WCHAR),
                              NewQQPathDir );
        }
    }//end if bytes
    }__except(EXCEPTION_EXECUTE_HANDLER )
    {
        KdPrint(("Exception occurred in CheckAndRecordRenameInfor 2 \n"));
    }
 
exit:
    if( hFile )
    {
        ZwClose( hFile );
        hFile = 0;
    }
    if( bResult )
        RecordRequestFileInfor( 6,current_pid,FileName,MAX_UNICODE_STRING_CHARS,4,FALSE );
 
    return bResult;
}

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・36

免费・5

支持

最新回复 (35) 1 2 ▶
Yecate 雪币： 129 活跃值： (2753) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 259 粉丝 6 关注私信	Yecate 2 楼求快递公仔求包邮 2013-9-20 19:48 0
Speeday 雪币： 458 活跃值： (306) 能力值： ( LV12，RANK：400 ) 在线值：发帖 22 回帖 353 粉丝 14 关注私信	Speeday 8 3 楼学习一下。 2013-9-20 20:02 0
xyzjanker 雪币： 100 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 46 粉丝 0 关注私信	xyzjanker 4 楼呵呵，以前写目录保护的驱动也碰到这个问题，就是父目录匹配欠考虑！ 2013-9-20 20:10 0
熊猫正正雪币： 2323 活跃值： (4113) 能力值： ( LV12，RANK：530 ) 在线值：发帖 137 回帖 898 粉丝 141 关注私信	熊猫正正 9 5 楼学习，谢谢分享 2013-9-20 21:00 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 6 楼前来支持楼主！！！坚持做完不容易 2013-9-20 21:06 0
邓韬雪币： 278 活跃值： (709) 能力值： ( LV15，RANK：520 ) 在线值：发帖 265 回帖 1670 粉丝 1 关注私信	邓韬 9 7 楼 ......数字用户公司的悲剧,谁叫它是腾讯呢？ 2013-9-20 21:08 0
邓韬雪币： 278 活跃值： (709) 能力值： ( LV15，RANK：520 ) 在线值：发帖 265 回帖 1670 粉丝 1 关注私信	邓韬 9 8 楼 BTW：楼主联系我一下？ 2013-9-20 21:09 0
evilor 雪币： 297 活跃值： (265) 能力值： ( LV4，RANK：55 ) 在线值：发帖 34 回帖 660 粉丝 2 关注私信	evilor 9 楼好文 Mark 2013-9-20 21:37 0
xJJuno 雪币： 13194 活跃值： (4256) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 397 粉丝 1 关注私信	xJJuno 10 楼 500KX哪里能换公仔？ 2013-9-20 21:47 0
swlilike 雪币： 89 活跃值： (53) 能力值： ( LV2，RANK：10 ) 在线值：发帖 50 回帖 365 粉丝 1 关注私信	swlilike 11 楼好像是以前，论坛有一个这样的活动。 2013-9-20 21:56 0
PPTV 雪币： 9682 活跃值： (2486) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 153 粉丝 0 关注私信	PPTV 12 楼弱弱的问下，突破了QQ驱动保护的漏洞会怎样？ 2013-9-20 22:02 0
天高雪币： 623 活跃值： (40) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 166 粉丝 0 关注私信	天高 13 楼 mark 2013-9-20 22:06 0
hunxiaozi 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 134 粉丝 0 关注私信	hunxiaozi 14 楼想不到原来漏洞还可以这样 2013-9-20 23:33 0
JoySauce 雪币： 341 活跃值： (85) 能力值： ( LV5，RANK：70 ) 在线值：发帖 6 回帖 185 粉丝 0 关注私信	JoySauce 1 15 楼广告位招租 2013-9-20 23:37 0
topofall 雪币： 124 活跃值： (469) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 196 粉丝 1 关注私信	topofall 16 楼过保护吗、、、、、、 2013-9-21 01:20 0
tihty 雪币： 27 活跃值： (127) 能力值： ( LV8，RANK：120 ) 在线值：发帖 29 回帖 1095 粉丝 3 关注私信	tihty 2 17 楼好文章，阅读学习 2013-9-21 09:24 0
tishion 雪币： 496 活跃值： (286) 能力值： ( LV13，RANK：400 ) 在线值：发帖 20 回帖 319 粉丝 11 关注私信	tishion 9 18 楼好文，不过你提交给厂商了么，为啥厂商没有处理呢？建议以后先提交厂商，厂商修复再拿出来分享。。。 2013-9-21 10:43 0
八十客车雪币： 245 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 135 粉丝 0 关注私信	八十客车 19 楼谢谢楼主分享 2013-9-21 12:31 0
快雪时晴雪币： 370 活跃值： (15) 能力值： ( LV9，RANK：170 ) 在线值：发帖 34 回帖 2272 粉丝 1 关注私信	快雪时晴 4 20 楼公仔是小孩子玩具、布娃娃一类？有没有智能点的这个绕开驱动保护后，可以有哪些利用呢这么隐蔽的bug怎么就发现的，，，度娘告诉我：腾讯安全应急响应中心,Tencent Security Response Center,TSRC. 2013-9-21 13:58 0
稻草人Z 雪币： 680 活跃值： (68) 能力值： ( LV6，RANK：90 ) 在线值：发帖 6 回帖 138 粉丝 1 关注私信	稻草人Z 2 21 楼标记下 2013-9-21 15:05 0
hackerlzc 雪币： 1689 活跃值： (379) 能力值： ( LV15，RANK：440 ) 在线值：发帖 33 回帖 613 粉丝 16 关注私信	hackerlzc 10 22 楼大家都来讨论一下最后那个问题吧。 2013-9-22 06:30 0
songbeibei 雪币： 194 活跃值： (251) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 156 粉丝 0 关注私信	songbeibei 23 楼顶个。。 2013-9-22 11:06 0
riusksk 雪币： 433 活跃值： (1870) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 169 回帖 2648 粉丝 258 关注私信	riusksk 41 24 楼非常感谢hackerlzc童鞋的漏洞，其他童鞋如有腾讯相关产品的漏洞可通过TSRC平台提交给我们，平台链接：http://security.tencent.com 经确认的漏洞可获得安全币，用安全币可兑换很多礼品，包括mac、单反、ipad等，具体见：http://security.tencent.com/index.php/shop 2013-9-22 12:48 0
ddlx 雪币： 541 活跃值： (654) 能力值： ( LV12，RANK：250 ) 在线值：发帖 13 回帖 245 粉丝 44 关注私信	ddlx 5 25 楼看的我也想弄个公仔玩玩，楼主，分析漏洞有哪些技巧啊 2013-9-22 14:29 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

hackerlzc

发帖

613

回帖

440

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (35) 1 2 ▶
Yecate 雪币： 129 活跃值： (2753) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 259 粉丝 6 关注私信	Yecate 2 楼求快递公仔求包邮 2013-9-20 19:48 0
Speeday 雪币： 458 活跃值： (306) 能力值： ( LV12，RANK：400 ) 在线值：发帖 22 回帖 353 粉丝 14 关注私信	Speeday 8 3 楼学习一下。 2013-9-20 20:02 0
xyzjanker 雪币： 100 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 46 粉丝 0 关注私信	xyzjanker 4 楼呵呵，以前写目录保护的驱动也碰到这个问题，就是父目录匹配欠考虑！ 2013-9-20 20:10 0
熊猫正正雪币： 2323 活跃值： (4113) 能力值： ( LV12，RANK：530 ) 在线值：发帖 137 回帖 898 粉丝 141 关注私信	熊猫正正 9 5 楼学习，谢谢分享 2013-9-20 21:00 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 6 楼前来支持楼主！！！坚持做完不容易 2013-9-20 21:06 0
邓韬雪币： 278 活跃值： (709) 能力值： ( LV15，RANK：520 ) 在线值：发帖 265 回帖 1670 粉丝 1 关注私信	邓韬 9 7 楼 ......数字用户公司的悲剧,谁叫它是腾讯呢？ 2013-9-20 21:08 0
邓韬雪币： 278 活跃值： (709) 能力值： ( LV15，RANK：520 ) 在线值：发帖 265 回帖 1670 粉丝 1 关注私信	邓韬 9 8 楼 BTW：楼主联系我一下？ 2013-9-20 21:09 0
evilor 雪币： 297 活跃值： (265) 能力值： ( LV4，RANK：55 ) 在线值：发帖 34 回帖 660 粉丝 2 关注私信	evilor 9 楼好文 Mark 2013-9-20 21:37 0
xJJuno 雪币： 13194 活跃值： (4256) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 397 粉丝 1 关注私信	xJJuno 10 楼 500KX哪里能换公仔？ 2013-9-20 21:47 0
swlilike 雪币： 89 活跃值： (53) 能力值： ( LV2，RANK：10 ) 在线值：发帖 50 回帖 365 粉丝 1 关注私信	swlilike 11 楼好像是以前，论坛有一个这样的活动。 2013-9-20 21:56 0
PPTV 雪币： 9682 活跃值： (2486) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 153 粉丝 0 关注私信	PPTV 12 楼弱弱的问下，突破了QQ驱动保护的漏洞会怎样？ 2013-9-20 22:02 0
天高雪币： 623 活跃值： (40) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 166 粉丝 0 关注私信	天高 13 楼 mark 2013-9-20 22:06 0
hunxiaozi 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 134 粉丝 0 关注私信	hunxiaozi 14 楼想不到原来漏洞还可以这样 2013-9-20 23:33 0
JoySauce 雪币： 341 活跃值： (85) 能力值： ( LV5，RANK：70 ) 在线值：发帖 6 回帖 185 粉丝 0 关注私信	JoySauce 1 15 楼广告位招租 2013-9-20 23:37 0
topofall 雪币： 124 活跃值： (469) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 196 粉丝 1 关注私信	topofall 16 楼过保护吗、、、、、、 2013-9-21 01:20 0
tihty 雪币： 27 活跃值： (127) 能力值： ( LV8，RANK：120 ) 在线值：发帖 29 回帖 1095 粉丝 3 关注私信	tihty 2 17 楼好文章，阅读学习 2013-9-21 09:24 0
tishion 雪币： 496 活跃值： (286) 能力值： ( LV13，RANK：400 ) 在线值：发帖 20 回帖 319 粉丝 11 关注私信	tishion 9 18 楼好文，不过你提交给厂商了么，为啥厂商没有处理呢？建议以后先提交厂商，厂商修复再拿出来分享。。。 2013-9-21 10:43 0
八十客车雪币： 245 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 135 粉丝 0 关注私信	八十客车 19 楼谢谢楼主分享 2013-9-21 12:31 0
快雪时晴雪币： 370 活跃值： (15) 能力值： ( LV9，RANK：170 ) 在线值：发帖 34 回帖 2272 粉丝 1 关注私信	快雪时晴 4 20 楼公仔是小孩子玩具、布娃娃一类？有没有智能点的这个绕开驱动保护后，可以有哪些利用呢这么隐蔽的bug怎么就发现的，，，度娘告诉我：腾讯安全应急响应中心,Tencent Security Response Center,TSRC. 2013-9-21 13:58 0
稻草人Z 雪币： 680 活跃值： (68) 能力值： ( LV6，RANK：90 ) 在线值：发帖 6 回帖 138 粉丝 1 关注私信	稻草人Z 2 21 楼标记下 2013-9-21 15:05 0
hackerlzc 雪币： 1689 活跃值： (379) 能力值： ( LV15，RANK：440 ) 在线值：发帖 33 回帖 613 粉丝 16 关注私信	hackerlzc 10 22 楼大家都来讨论一下最后那个问题吧。 2013-9-22 06:30 0
songbeibei 雪币： 194 活跃值： (251) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 156 粉丝 0 关注私信	songbeibei 23 楼顶个。。 2013-9-22 11:06 0
riusksk 雪币： 433 活跃值： (1870) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 169 回帖 2648 粉丝 258 关注私信	riusksk 41 24 楼非常感谢hackerlzc童鞋的漏洞，其他童鞋如有腾讯相关产品的漏洞可通过TSRC平台提交给我们，平台链接：http://security.tencent.com 经确认的漏洞可获得安全币，用安全币可兑换很多礼品，包括mac、单反、ipad等，具体见：http://security.tencent.com/index.php/shop 2013-9-22 12:48 0
ddlx 雪币： 541 活跃值： (654) 能力值： ( LV12，RANK：250 ) 在线值：发帖 13 回帖 245 粉丝 44 关注私信	ddlx 5 25 楼看的我也想弄个公仔玩玩，楼主，分析漏洞有哪些技巧啊 2013-9-22 14:29 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复