首页
社区
课程
招聘
[原创]杀死那个名为360安全的软件
发表于: 2024-3-28 10:04 19421

[原创]杀死那个名为360安全的软件

2024-3-28 10:04
19421

    出去练习了两年半,合同到期闲出了一段时间,重新发个文章活跃保号。先整点铺垫

    2023年底,闲来没事想起了xjun师傅2021年发的procexp驱动利用帖子时在群里讨论的,通过procexp驱动突破PPL后注入到csrss进程中,再通过csrss来结束那些个安全防护软件。于是在当时就有了如下成果:

文章链接(在职的时候发的)
https://mp.weixin.qq.com/s/AXjVjguHaWd3rHqYQ4wfmw
xjun师傅的PPL文章
https://www.52pojie.cn/thread-1546336-1-1.html
    这些弄完之后,觉得通过hook csrss中的CsrCreateProcess来达到主动kill 指定进程并不优雅。于是对360的360FsFlt和360Hvm64进行了分析,并从中找到了他的防护缺陷。导致可以用简单的办法结束ZhuDongFangYu.exe和360try.exe等进程。

     在360FsFlt的回调中,存在一个白名单,而这个白名单为360安装目录下的exe,每当运行后都会记录对应的pid。


     但是,当你想当然的去启动它的exe以此获得白名单时,你会发现启动的exe不能注入,不能写。所以他仍然还有手段禁止白名单被利用。不要灰心,在这个阶段我们知道了白名单可以不被降权。那么接下来的目的就是想办法获得一个内存修改的权限。

     在上面的启动白名单的exe获得的句柄权限是最高权限,但并没有操作的空间。显然是对api做了手脚,于是目光转到了晶核上,在360Hvm64中发现了这么个表


从下图可以发现,在调用NtWriteVirtualMemory会有校验


到这里可以确定,通过下图的部分exe中可以对白名单进行读写注入。

通过分析,我们得到如下几个点

那么我们的利用链就可以是

根据上面的一顿操作,得到下图的中的一坨

可以用来创建白名单进程的系统进程
\\SystemRoot\\System32\\Lsass.exe
\\SystemRoot\\System32\\Svchost.exe
\\SystemRoot\\System32\\Services.exe
\\SystemRoot\\System32\\Csrss.exe
\\SystemRoot\\System32\\Consent.exe
可以用来创建白名单进程的系统进程
\\SystemRoot\\System32\\Lsass.exe
\\SystemRoot\\System32\\Svchost.exe
\\SystemRoot\\System32\\Services.exe
\\SystemRoot\\System32\\Csrss.exe

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 26
支持
分享
最新回复 (21)
雪    币: 871
活跃值: (9841)
能力值: ( LV13,RANK:385 )
在线值:
发帖
回帖
粉丝
2
360: 你个老六 
2024-3-28 10:29
0
雪    币: 188
活跃值: (2750)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
3
还得是醒哥
2024-3-28 10:35
0
雪    币: 10868
活跃值: (14664)
能力值: ( LV13,RANK:400 )
在线值:
发帖
回帖
粉丝
4

3*0:你们呐,总想搞个大新闻。

最后于 2024-3-28 10:41 被wmsuper编辑 ,原因:
2024-3-28 10:41
0
雪    币: 3565
活跃值: (3950)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
好强大。
2024-3-28 12:43
0
雪    币: 119
活跃值: (611)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
看傻了,怎么才有大佬一半的实力,文章都看不明白
2024-3-28 13:56
0
雪    币: 3570
活跃值: (4709)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
这种确实不好防
2024-3-28 15:44
0
雪    币: 6942
活跃值: (2775)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
以彼之矛,攻彼之盾。优雅~
2024-3-28 15:55
1
雪    币: 48
活跃值: (466)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
优雅永不过时!!!
2024-3-28 16:44
0
雪    币: 136
活跃值: (272)
能力值: ( LV12,RANK:490 )
在线值:
发帖
回帖
粉丝
10
联网试试呢
2024-3-28 17:19
0
雪    币: 405
活跃值: (2280)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
11
不断网,联网测试看看。我记得注入SVCHOST就会弹框了。
2024-3-28 17:23
1
雪    币: 2040
活跃值: (4950)
能力值: ( LV13,RANK:278 )
在线值:
发帖
回帖
粉丝
12
说联网的,都知道联网会有什么情况发生
2024-3-28 19:33
0
雪    币: 3070
活跃值: (30876)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
13
感谢分享
2024-3-29 14:04
1
雪    币: 3878
活跃值: (3663)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
14
感谢分享
2024-3-29 22:49
0
雪    币: 0
活跃值: (954)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
15

360老驱动开新花了,早8.0就逆过360驱动,就存在白名单大法,以前在安博士的HS时代就这样干过,部分白进程可以读写内存甚至可以open被callback回调监控的进程,这样做主要是为了让系统进程某些功能去访问,不然有些进程会导致系统出问题,这个时候就可以利用,包括gameguard也存在SB的白名单,导致第三方EXE可以任意读取内存和关掉CRC代码段校验

最后于 2024-4-3 13:32 被网络游侠编辑 ,原因: 写错了
2024-4-3 13:27
3
雪    币: 237
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
16
tql
2024-4-8 13:36
0
雪    币: 6832
活跃值: (1637)
能力值: ( LV5,RANK:67 )
在线值:
发帖
回帖
粉丝
17
2024-4-12 12:39
0
雪    币: 27
活跃值: (344)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
18
大受震撼
2024-4-29 15:45
0
雪    币: 139
活跃值: (1175)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
19
零加一 说联网的,都知道联网会有什么情况发生
有点意思
2024-6-13 15:29
0
雪    币: 25
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
20
断网随便加载驱动都可以kill了
2024-10-26 16:26
0
雪    币: 4734
活跃值: (4281)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
21
网络游侠 360老驱动开新花了,早8.0就逆过360驱动,就存在白名单大法,以前在安博士的HS时代就这样干过,部分白进程可以读写内存甚至可以open被callback回调监控的进程,这样做主要是为了让系统进程某 ...
资深反作弊开发或者做安全盾的人都知道一定是会存在白名单进程的。
2024-10-26 19:45
0
雪    币:
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
22
学习了.刚好思考到这个问题
3天前
0
游客
登录 | 注册 方可回帖
返回
//