[原创]杀死那个名为360安全的软件-二进制漏洞-看雪-安全社区|安全招聘|kanxue.com

[原创]杀死那个名为360安全的软件

发表于: 2024-3-28 10:04 19413

[原创]杀死那个名为360安全的软件

零加一

2024-3-28 10:04

19413

出去练习了两年半，合同到期闲出了一段时间，重新发个文章活跃保号。先整点铺垫

2023年底，闲来没事想起了xjun师傅2021年发的procexp驱动利用帖子时在群里讨论的，通过procexp驱动突破PPL后注入到csrss进程中，再通过csrss来结束那些个安全防护软件。于是在当时就有了如下成果：

文章链接（在职的时候发的）
https://mp.weixin.qq.com/s/AXjVjguHaWd3rHqYQ4wfmw
xjun师傅的PPL文章
https://www.52pojie.cn/thread-1546336-1-1.html
这些弄完之后，觉得通过hook csrss中的CsrCreateProcess来达到主动kill 指定进程并不优雅。于是对360的360FsFlt和360Hvm64进行了分析，并从中找到了他的防护缺陷。导致可以用简单的办法结束ZhuDongFangYu.exe和360try.exe等进程。

在360FsFlt的回调中，存在一个白名单，而这个白名单为360安装目录下的exe，每当运行后都会记录对应的pid。

但是，当你想当然的去启动它的exe以此获得白名单时，你会发现启动的exe不能注入，不能写。所以他仍然还有手段禁止白名单被利用。不要灰心，在这个阶段我们知道了白名单可以不被降权。那么接下来的目的就是想办法获得一个内存修改的权限。

在上面的启动白名单的exe获得的句柄权限是最高权限，但并没有操作的空间。显然是对api做了手脚，于是目光转到了晶核上，在360Hvm64中发现了这么个表

从下图可以发现，在调用NtWriteVirtualMemory会有校验

到这里可以确定，通过下图的部分exe中可以对白名单进行读写注入。

通过分析，我们得到如下几个点

那么我们的利用链就可以是

根据上面的一顿操作，得到下图的中的一坨

可以用来创建白名单进程的系统进程
\\SystemRoot\\System32\\Lsass.exe
\\SystemRoot\\System32\\Svchost.exe
\\SystemRoot\\System32\\Services.exe
\\SystemRoot\\System32\\Csrss.exe
\\SystemRoot\\System32\\Consent.exe

可以用来创建白名单进程的系统进程

\\SystemRoot\\System32\\Lsass.exe

\\SystemRoot\\System32\\Svchost.exe

\\SystemRoot\\System32\\Services.exe

\\SystemRoot\\System32\\Csrss.exe

登录后可查看完整内容

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

#Windows #漏洞利用 #漏洞分析

收藏・45

免费・26

支持

赞赏记录

参与人

雪币

留言

时间

lucifer11

感谢你的贡献，论坛因你而更加精彩！

2024-8-2 16:50

迫破

谢谢你的细致分析，受益匪浅！

2024-7-4 09:50

一笑人间万事

为你点赞~

2024-5-31 01:20

g0mx

为你点赞~

2024-4-23 09:04

一半人生

为你点赞~

2024-4-9 15:58

vay

为你点赞~

2024-4-9 10:22

slcn

为你点赞~

2024-4-9 09:03

jelasin

为你点赞~

2024-4-8 13:56

jihongwdlp

为你点赞~

2024-4-8 11:03

治愈ckt

为你点赞~

2024-4-8 00:49

wusha

为你点赞~

2024-4-7 23:48

pureGavin

为你点赞~

2024-3-30 08:53

声波

为你点赞~

2024-3-29 15:47

yp太阳神

为你点赞~

2024-3-28 18:03

科学上网

为你点赞~

2024-3-28 15:20

东关之南

为你点赞~

2024-3-28 15:04

ttte

为你点赞~

2024-3-28 14:24

asdll

为你点赞~

2024-3-28 12:42

Jtian

为你点赞~

2024-3-28 11:03

tank小王子

为你点赞~

2024-3-28 10:53

舒默哦

为你点赞~

2024-3-28 10:31

TkBinary

为你点赞~

2024-3-28 10:29

Kaining

为你点赞~

2024-3-28 10:27

令狐双

为你点赞~

2024-3-28 10:20

wmsuper

为你点赞~

2024-3-28 10:18

mb_xuxpsolj

为你点赞~

2024-3-28 10:15

最新回复 (21)
TkBinary 雪币： 871 活跃值： (9841) 能力值： ( LV13，RANK：385 ) 在线值：发帖 25 回帖 416 粉丝 211 关注私信	TkBinary 5 2 楼 360: 你个老六 2024-3-28 10:29 0
Kaining 雪币： 188 活跃值： (2750) 能力值： ( LV3，RANK：30 ) 在线值：发帖 2 回帖 30 粉丝 9 关注私信	Kaining 3 楼还得是醒哥 2024-3-28 10:35 0
wmsuper 雪币： 10866 活跃值： (14664) 能力值： ( LV13，RANK：400 ) 在线值：发帖 36 回帖 136 粉丝 327 关注私信	wmsuper 7 4 楼 3*0：你们呐，总想搞个大新闻。最后于 2024-3-28 10:41 被wmsuper编辑，原因： 2024-3-28 10:41 0
院士雪币： 3565 活跃值： (3950) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 177 粉丝 2 关注私信	院士 5 楼好强大。 2024-3-28 12:43 0
小柯南雪币： 119 活跃值： (611) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 12 粉丝 1 关注私信	小柯南 6 楼看傻了，怎么才有大佬一半的实力，文章都看不明白 2024-3-28 13:56 0
syser 雪币： 3570 活跃值： (4709) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 231 粉丝 8 关注私信	syser 7 楼这种确实不好防 2024-3-28 15:44 0
shuichon 雪币： 6942 活跃值： (2775) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 240 粉丝 1 关注私信	shuichon 8 楼以彼之矛，攻彼之盾。优雅~ 2024-3-28 15:55 1
M0ch3n 雪币： 48 活跃值： (466) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 1 关注私信	M0ch3n 9 楼优雅永不过时！！！ 2024-3-28 16:44 0
tgjarwl 雪币： 136 活跃值： (272) 能力值： ( LV12，RANK：490 ) 在线值：发帖 3 回帖 9 粉丝 0 关注私信	tgjarwl 1 10 楼联网试试呢 2024-3-28 17:19 0
wowocock 雪币： 405 活跃值： (2280) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 298 粉丝 21 关注私信	wowocock 1 11 楼不断网，联网测试看看。我记得注入SVCHOST就会弹框了。 2024-3-28 17:23 1
零加一雪币： 2040 活跃值： (4950) 能力值： ( LV13，RANK：278 ) 在线值：发帖 12 回帖 41 粉丝 150 关注私信	零加一 3 12 楼说联网的，都知道联网会有什么情况发生 2024-3-28 19:33 0
秋狝雪币： 3059 活跃值： (30876) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1568 粉丝 38 关注私信	秋狝 13 楼感谢分享 2024-3-29 14:04 1
iamasbcx 雪币： 3878 活跃值： (3663) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 190 粉丝 8 关注私信	iamasbcx 14 楼感谢分享 2024-3-29 22:49 0
网络游侠雪币： 0 活跃值： (954) 能力值： ( LV3，RANK：30 ) 在线值：发帖 19 回帖 971 粉丝 15 关注私信	网络游侠 15 楼 360老驱动开新花了，早8.0就逆过360驱动，就存在白名单大法，以前在安博士的HS时代就这样干过，部分白进程可以读写内存甚至可以open被callback回调监控的进程，这样做主要是为了让系统进程某些功能去访问，不然有些进程会导致系统出问题，这个时候就可以利用，包括gameguard也存在SB的白名单，导致第三方EXE可以任意读取内存和关掉CRC代码段校验最后于 2024-4-3 13:32 被网络游侠编辑，原因：写错了 2024-4-3 13:27 3
endzht 雪币： 237 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 1 关注私信	endzht 16 楼 tql 2024-4-8 13:36 0
晴雯晴雯雪币： 6832 活跃值： (1637) 能力值： ( LV5，RANK：67 ) 在线值：发帖 2 回帖 44 粉丝 1 关注私信	晴雯晴雯 17 楼牛 2024-4-12 12:39 0
hWillow 雪币： 27 活跃值： (344) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 3 粉丝 0 关注私信	hWillow 18 楼大受震撼 2024-4-29 15:45 0
hackbs 雪币： 139 活跃值： (1175) 能力值： ( LV3，RANK：20 ) 在线值：发帖 39 回帖 221 粉丝 1 关注私信	hackbs 19 楼零加一说联网的，都知道联网会有什么情况发生有点意思 2024-6-13 15:29 0
Powermonster 雪币： 25 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	Powermonster 20 楼断网随便加载驱动都可以kill了 2024-10-26 16:26 0
木志本柯雪币： 4734 活跃值： (4281) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 364 粉丝 4 关注私信	木志本柯 21 楼网络游侠 360老驱动开新花了，早8.0就逆过360驱动，就存在白名单大法，以前在安博士的HS时代就这样干过，部分白进程可以读写内存甚至可以open被callback回调监控的进程，这样做主要是为了让系统进程某 ... 资深反作弊开发或者做安全盾的人都知道一定是会存在白名单进程的。 2024-10-26 19:45 0
mb_iqizohxq 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	mb_iqizohxq 22 楼学习了.刚好思考到这个问题 2天前 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

零加一

发帖

回帖

278

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (21)
TkBinary 雪币： 871 活跃值： (9841) 能力值： ( LV13，RANK：385 ) 在线值：发帖 25 回帖 416 粉丝 211 关注私信	TkBinary 5 2 楼 360: 你个老六 2024-3-28 10:29 0
Kaining 雪币： 188 活跃值： (2750) 能力值： ( LV3，RANK：30 ) 在线值：发帖 2 回帖 30 粉丝 9 关注私信	Kaining 3 楼还得是醒哥 2024-3-28 10:35 0
wmsuper 雪币： 10866 活跃值： (14664) 能力值： ( LV13，RANK：400 ) 在线值：发帖 36 回帖 136 粉丝 327 关注私信	wmsuper 7 4 楼 3*0：你们呐，总想搞个大新闻。最后于 2024-3-28 10:41 被wmsuper编辑，原因： 2024-3-28 10:41 0
院士雪币： 3565 活跃值： (3950) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 177 粉丝 2 关注私信	院士 5 楼好强大。 2024-3-28 12:43 0
小柯南雪币： 119 活跃值： (611) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 12 粉丝 1 关注私信	小柯南 6 楼看傻了，怎么才有大佬一半的实力，文章都看不明白 2024-3-28 13:56 0
syser 雪币： 3570 活跃值： (4709) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 231 粉丝 8 关注私信	syser 7 楼这种确实不好防 2024-3-28 15:44 0
shuichon 雪币： 6942 活跃值： (2775) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 240 粉丝 1 关注私信	shuichon 8 楼以彼之矛，攻彼之盾。优雅~ 2024-3-28 15:55 1
M0ch3n 雪币： 48 活跃值： (466) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 1 关注私信	M0ch3n 9 楼优雅永不过时！！！ 2024-3-28 16:44 0
tgjarwl 雪币： 136 活跃值： (272) 能力值： ( LV12，RANK：490 ) 在线值：发帖 3 回帖 9 粉丝 0 关注私信	tgjarwl 1 10 楼联网试试呢 2024-3-28 17:19 0
wowocock 雪币： 405 活跃值： (2280) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 298 粉丝 21 关注私信	wowocock 1 11 楼不断网，联网测试看看。我记得注入SVCHOST就会弹框了。 2024-3-28 17:23 1
零加一雪币： 2040 活跃值： (4950) 能力值： ( LV13，RANK：278 ) 在线值：发帖 12 回帖 41 粉丝 150 关注私信	零加一 3 12 楼说联网的，都知道联网会有什么情况发生 2024-3-28 19:33 0
秋狝雪币： 3059 活跃值： (30876) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1568 粉丝 38 关注私信	秋狝 13 楼感谢分享 2024-3-29 14:04 1
iamasbcx 雪币： 3878 活跃值： (3663) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 190 粉丝 8 关注私信	iamasbcx 14 楼感谢分享 2024-3-29 22:49 0
网络游侠雪币： 0 活跃值： (954) 能力值： ( LV3，RANK：30 ) 在线值：发帖 19 回帖 971 粉丝 15 关注私信	网络游侠 15 楼 360老驱动开新花了，早8.0就逆过360驱动，就存在白名单大法，以前在安博士的HS时代就这样干过，部分白进程可以读写内存甚至可以open被callback回调监控的进程，这样做主要是为了让系统进程某些功能去访问，不然有些进程会导致系统出问题，这个时候就可以利用，包括gameguard也存在SB的白名单，导致第三方EXE可以任意读取内存和关掉CRC代码段校验最后于 2024-4-3 13:32 被网络游侠编辑，原因：写错了 2024-4-3 13:27 3
endzht 雪币： 237 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 1 关注私信	endzht 16 楼 tql 2024-4-8 13:36 0
晴雯晴雯雪币： 6832 活跃值： (1637) 能力值： ( LV5，RANK：67 ) 在线值：发帖 2 回帖 44 粉丝 1 关注私信	晴雯晴雯 17 楼牛 2024-4-12 12:39 0
hWillow 雪币： 27 活跃值： (344) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 3 粉丝 0 关注私信	hWillow 18 楼大受震撼 2024-4-29 15:45 0
hackbs 雪币： 139 活跃值： (1175) 能力值： ( LV3，RANK：20 ) 在线值：发帖 39 回帖 221 粉丝 1 关注私信	hackbs 19 楼零加一说联网的，都知道联网会有什么情况发生有点意思 2024-6-13 15:29 0
Powermonster 雪币： 25 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	Powermonster 20 楼断网随便加载驱动都可以kill了 2024-10-26 16:26 0
木志本柯雪币： 4734 活跃值： (4281) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 364 粉丝 4 关注私信	木志本柯 21 楼网络游侠 360老驱动开新花了，早8.0就逆过360驱动，就存在白名单大法，以前在安博士的HS时代就这样干过，部分白进程可以读写内存甚至可以open被callback回调监控的进程，这样做主要是为了让系统进程某 ... 资深反作弊开发或者做安全盾的人都知道一定是会存在白名单进程的。 2024-10-26 19:45 0
mb_iqizohxq 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	mb_iqizohxq 22 楼学习了.刚好思考到这个问题 2天前 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复