[原创]百度卫士驱动设备打开绕过-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]百度卫士驱动设备打开绕过

发表于: 2015-3-18 16:11 16830

[原创]百度卫士驱动设备打开绕过

Jtian

2015-3-18 16:11

16830

标题: 【原创】百度卫士驱动设备打开绕过
作者: Jtian (FlyingCat)
时间: 2015-03-15,16:40
链接: http://bbs.pediy.com/showthread.php?t=198766

BDDedefense.sys是百度卫士的驱动文件，其会创建设备“\\Device\\BDDefense”，BaiduHips.exe会使用到它。由于打开时存在校验，一般情况下，第三方程序打开“\\.\ BDDefense”的时候会被拒绝，打开失败。但是，如果利用BaiduHips.exe的数据，人为构造出一个特殊的第三方程序，则可以骗过 BDDedefense.sys的校验过程，打开成功。并且由于没有做权限判断，所以普通用户也可以打开。能够造成多大的危害，则取决于DeviceIoControl能做多大的事情。

详细分析请见附件。

登录后可查看完整内容

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

上传的附件：

百度卫士驱动设备打开绕过漏洞.pdf （534.03kb，536次下载）

收藏・20

免费・3

支持

最新回复 (35) 1 2 ▶
Jtian 雪币： 2047 活跃值： (4111) 能力值： ( LV7，RANK：100 ) 在线值：发帖 25 回帖 84 粉丝 24 关注私信	Jtian 1 2 楼 "\\.\BDArKit"也存在同样的问题。利用伪造的程序不仅可以打开“\\.\BDDefense”，还可以直接打开“\\.\BDArKit”。 2015-3-18 16:19 0
Jtian 雪币： 2047 活跃值： (4111) 能力值： ( LV7，RANK：100 ) 在线值：发帖 25 回帖 84 粉丝 24 关注私信	Jtian 1 3 楼 "\\.\BDMNetMon"和"\\.\BDMWrench"都存在同样的问题，用伪造的程序可以直接打开。 2015-3-18 16:30 0
exile 雪币： 2105 活跃值： (424) 能力值： ( LV4，RANK：50 ) 在线值：发帖 21 回帖 1266 粉丝 2 关注私信	exile 1 4 楼为啥不校验签名啥的。。自己加个RSA也行啊 2015-3-18 17:15 0
Jtian 雪币： 2047 活跃值： (4111) 能力值： ( LV7，RANK：100 ) 在线值：发帖 25 回帖 84 粉丝 24 关注私信	Jtian 1 5 楼他们设计的这么这么幸苦，想必也是做了很多考虑的，只是能被绕过罢了。如果他们能在第三次读入的时候再校验下读入的数据是不是调用者真实的text段等内容，那么就可以防止这种绕过方法。 2015-3-18 17:49 0
Jtian 雪币： 2047 活跃值： (4111) 能力值： ( LV7，RANK：100 ) 在线值：发帖 25 回帖 84 粉丝 24 关注私信	Jtian 1 6 楼百度杀毒（目前最新版，4.0.0.6561）也存在同样的问题，用伪造的程序可以直接打开。fuzz的时候，还测到了个蓝屏。 2015-3-18 17:55 0
地狱怪客雪币： 341 活跃值： (143) 能力值： ( LV7，RANK：110 ) 在线值：发帖 23 回帖 1125 粉丝 10 关注私信	地狱怪客 2 7 楼临时用户+精华。。咋不转正啊 2015-3-20 10:57 0
hittimes 雪币： 362 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 40 粉丝 0 关注私信	hittimes 8 楼相比较而言，那些驱动没做校验，随便打开的程序。。。。真的打起来，肯定是筛子了 2015-3-20 10:59 0
hittimes 雪币： 362 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 40 粉丝 0 关注私信	hittimes 9 楼楼主不想暴露身份 2015-3-20 11:00 0
t真三雪币： 78 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 47 粉丝 1 关注私信	t真三 10 楼 2huo 2015-3-20 14:34 0
squdong 雪币： 8 活跃值： (233) 能力值： (RANK：10 ) 在线值：发帖 35 回帖 136 粉丝 0 关注私信	squdong 11 楼你又不知道IoControlCode，打开了有什么用？你当是windows API啊，IoControlCode又不是公开的，你瞎猜也能碰出使用方法吗？如果你逆向反汇编，那就没办法了，加密的也照样可以逆向啊。不过如果把IoControlCode加个VMP丢给你，够你受的了。 2015-3-20 16:09 0
hackcode 雪币： 6 能力值： (RANK：10 ) 在线值：发帖 6 回帖 52 粉丝 0 关注私信	hackcode 12 楼楼主求交流 2015-3-20 16:29 0
elianmeng 雪币： 967 活跃值： (1138) 能力值： ( LV6，RANK：90 ) 在线值：发帖 68 回帖 707 粉丝 4 关注私信	elianmeng 1 13 楼这个就像某某软件加了一个壳，你给壳脱了，你就开始喊危害了你起码弄个蓝屏或者特权写注册表什么的利用啊 2015-3-20 16:40 0
AntiPsycho 雪币： 0 活跃值： (772) 能力值： ( LV3，RANK：20 ) 在线值：发帖 11 回帖 76 粉丝 0 关注私信	AntiPsycho 14 楼好一个复制粘贴 2015-3-20 16:52 0
AntiPsycho 雪币： 0 活跃值： (772) 能力值： ( LV3，RANK：20 ) 在线值：发帖 11 回帖 76 粉丝 0 关注私信	AntiPsycho 15 楼顶～求EXP 2015-3-20 16:55 0
liuganchao 雪币： 76 活跃值： (114) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 206 粉丝 0 关注私信	liuganchao 16 楼大家试试百度国际杀毒看看他的防御咋样~~~http://antivirus.baidu.com/en/ 2015-3-20 16:58 0
Jtian 雪币： 2047 活跃值： (4111) 能力值： ( LV7，RANK：100 ) 在线值：发帖 25 回帖 84 粉丝 24 关注私信	Jtian 1 17 楼嘿嘿~~ 2015-3-20 17:25 0
instruder 雪币： 146 活跃值： (182) 能力值： ( LV13，RANK：220 ) 在线值：发帖 37 回帖 438 粉丝 5 关注私信	instruder 4 18 楼远程赶来支持lz 2015-3-20 18:46 0
Jtian 雪币： 2047 活跃值： (4111) 能力值： ( LV7，RANK：100 ) 在线值：发帖 25 回帖 84 粉丝 24 关注私信	Jtian 1 19 楼 (＝^ω^＝) 2015-3-20 20:59 0
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 20 楼智商着急 2015-3-20 21:14 0
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 21 楼百度研究院的玩意太xx了……果然服务国内的部分是炮灰啊…… 2015-3-20 21:15 0
Jtian 雪币： 2047 活跃值： (4111) 能力值： ( LV7，RANK：100 ) 在线值：发帖 25 回帖 84 粉丝 24 关注私信	Jtian 1 22 楼百度杀毒 BDMWrench 驱动缓冲区溢出漏洞 http://bbs.pediy.com/showthread.php?t=198848 2015-3-20 21:34 0
Jtian 雪币： 2047 活跃值： (4111) 能力值： ( LV7，RANK：100 ) 在线值：发帖 25 回帖 84 粉丝 24 关注私信	Jtian 1 23 楼软件有漏洞其实挺正常的，百度安全刚开始做，所以相对来说比较好找。 2015-3-20 21:36 0
squdong 雪币： 8 活跃值： (233) 能力值： (RANK：10 ) 在线值：发帖 35 回帖 136 粉丝 0 关注私信	squdong 24 楼不明白，难道我说错了吗？ 2015-3-20 22:18 0
squdong 雪币： 8 活跃值： (233) 能力值： (RANK：10 ) 在线值：发帖 35 回帖 136 粉丝 0 关注私信	squdong 25 楼我知道了，用IRP monitor监控，但buffer加密了你无法解密，再说也不知道具体结构，还是得逆向 2015-3-20 22:33 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

Jtian

发帖

回帖

100

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (35) 1 2 ▶
Jtian 雪币： 2047 活跃值： (4111) 能力值： ( LV7，RANK：100 ) 在线值：发帖 25 回帖 84 粉丝 24 关注私信	Jtian 1 2 楼 "\\.\BDArKit"也存在同样的问题。利用伪造的程序不仅可以打开“\\.\BDDefense”，还可以直接打开“\\.\BDArKit”。 2015-3-18 16:19 0
Jtian 雪币： 2047 活跃值： (4111) 能力值： ( LV7，RANK：100 ) 在线值：发帖 25 回帖 84 粉丝 24 关注私信	Jtian 1 3 楼 "\\.\BDMNetMon"和"\\.\BDMWrench"都存在同样的问题，用伪造的程序可以直接打开。 2015-3-18 16:30 0
exile 雪币： 2105 活跃值： (424) 能力值： ( LV4，RANK：50 ) 在线值：发帖 21 回帖 1266 粉丝 2 关注私信	exile 1 4 楼为啥不校验签名啥的。。自己加个RSA也行啊 2015-3-18 17:15 0
Jtian 雪币： 2047 活跃值： (4111) 能力值： ( LV7，RANK：100 ) 在线值：发帖 25 回帖 84 粉丝 24 关注私信	Jtian 1 5 楼他们设计的这么这么幸苦，想必也是做了很多考虑的，只是能被绕过罢了。如果他们能在第三次读入的时候再校验下读入的数据是不是调用者真实的text段等内容，那么就可以防止这种绕过方法。 2015-3-18 17:49 0
Jtian 雪币： 2047 活跃值： (4111) 能力值： ( LV7，RANK：100 ) 在线值：发帖 25 回帖 84 粉丝 24 关注私信	Jtian 1 6 楼百度杀毒（目前最新版，4.0.0.6561）也存在同样的问题，用伪造的程序可以直接打开。fuzz的时候，还测到了个蓝屏。 2015-3-18 17:55 0
地狱怪客雪币： 341 活跃值： (143) 能力值： ( LV7，RANK：110 ) 在线值：发帖 23 回帖 1125 粉丝 10 关注私信	地狱怪客 2 7 楼临时用户+精华。。咋不转正啊 2015-3-20 10:57 0
hittimes 雪币： 362 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 40 粉丝 0 关注私信	hittimes 8 楼相比较而言，那些驱动没做校验，随便打开的程序。。。。真的打起来，肯定是筛子了 2015-3-20 10:59 0
hittimes 雪币： 362 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 40 粉丝 0 关注私信	hittimes 9 楼楼主不想暴露身份 2015-3-20 11:00 0
t真三雪币： 78 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 47 粉丝 1 关注私信	t真三 10 楼 2huo 2015-3-20 14:34 0
squdong 雪币： 8 活跃值： (233) 能力值： (RANK：10 ) 在线值：发帖 35 回帖 136 粉丝 0 关注私信	squdong 11 楼你又不知道IoControlCode，打开了有什么用？你当是windows API啊，IoControlCode又不是公开的，你瞎猜也能碰出使用方法吗？如果你逆向反汇编，那就没办法了，加密的也照样可以逆向啊。不过如果把IoControlCode加个VMP丢给你，够你受的了。 2015-3-20 16:09 0
hackcode 雪币： 6 能力值： (RANK：10 ) 在线值：发帖 6 回帖 52 粉丝 0 关注私信	hackcode 12 楼楼主求交流 2015-3-20 16:29 0
elianmeng 雪币： 967 活跃值： (1138) 能力值： ( LV6，RANK：90 ) 在线值：发帖 68 回帖 707 粉丝 4 关注私信	elianmeng 1 13 楼这个就像某某软件加了一个壳，你给壳脱了，你就开始喊危害了你起码弄个蓝屏或者特权写注册表什么的利用啊 2015-3-20 16:40 0
AntiPsycho 雪币： 0 活跃值： (772) 能力值： ( LV3，RANK：20 ) 在线值：发帖 11 回帖 76 粉丝 0 关注私信	AntiPsycho 14 楼好一个复制粘贴 2015-3-20 16:52 0
AntiPsycho 雪币： 0 活跃值： (772) 能力值： ( LV3，RANK：20 ) 在线值：发帖 11 回帖 76 粉丝 0 关注私信	AntiPsycho 15 楼顶～求EXP 2015-3-20 16:55 0
liuganchao 雪币： 76 活跃值： (114) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 206 粉丝 0 关注私信	liuganchao 16 楼大家试试百度国际杀毒看看他的防御咋样~~~http://antivirus.baidu.com/en/ 2015-3-20 16:58 0
Jtian 雪币： 2047 活跃值： (4111) 能力值： ( LV7，RANK：100 ) 在线值：发帖 25 回帖 84 粉丝 24 关注私信	Jtian 1 17 楼嘿嘿~~ 2015-3-20 17:25 0
instruder 雪币： 146 活跃值： (182) 能力值： ( LV13，RANK：220 ) 在线值：发帖 37 回帖 438 粉丝 5 关注私信	instruder 4 18 楼远程赶来支持lz 2015-3-20 18:46 0
Jtian 雪币： 2047 活跃值： (4111) 能力值： ( LV7，RANK：100 ) 在线值：发帖 25 回帖 84 粉丝 24 关注私信	Jtian 1 19 楼 (＝^ω^＝) 2015-3-20 20:59 0
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 20 楼智商着急 2015-3-20 21:14 0
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 21 楼百度研究院的玩意太xx了……果然服务国内的部分是炮灰啊…… 2015-3-20 21:15 0
Jtian 雪币： 2047 活跃值： (4111) 能力值： ( LV7，RANK：100 ) 在线值：发帖 25 回帖 84 粉丝 24 关注私信	Jtian 1 22 楼百度杀毒 BDMWrench 驱动缓冲区溢出漏洞 http://bbs.pediy.com/showthread.php?t=198848 2015-3-20 21:34 0
Jtian 雪币： 2047 活跃值： (4111) 能力值： ( LV7，RANK：100 ) 在线值：发帖 25 回帖 84 粉丝 24 关注私信	Jtian 1 23 楼软件有漏洞其实挺正常的，百度安全刚开始做，所以相对来说比较好找。 2015-3-20 21:36 0
squdong 雪币： 8 活跃值： (233) 能力值： (RANK：10 ) 在线值：发帖 35 回帖 136 粉丝 0 关注私信	squdong 24 楼不明白，难道我说错了吗？ 2015-3-20 22:18 0
squdong 雪币： 8 活跃值： (233) 能力值： (RANK：10 ) 在线值：发帖 35 回帖 136 粉丝 0 关注私信	squdong 25 楼我知道了，用IRP monitor监控，但buffer加密了你无法解密，再说也不知道具体结构，还是得逆向 2015-3-20 22:33 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复