首页
社区
课程
招聘
[求助]求问火绒和赛门铁克的endpoint protect 在安装之后会接管系统防火墙,这个功能是调用什么api做的
发表于: 2024-7-15 10:31 2622

[求助]求问火绒和赛门铁克的endpoint protect 在安装之后会接管系统防火墙,这个功能是调用什么api做的

2024-7-15 10:31
2622

https://bbs.kafan.cn/thread-2169122-1-1.html
根据kafan论坛火绒的用户和之前在使用赛门铁克的时候的经验,打开防火墙直接提示windows防火墙已经被接管,很想知道这个功能是怎么做到的?是需要过MVI认证么还是说要怎么样做,有没有大神可以出来说说


[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (16)
雪    币: 348
活跃值: (4296)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
貌似需要ELAM然后就是调用某些私有api,具体的要成为MVI成员才会和你说
2024-7-15 12:19
0
雪    币: 558
活跃值: (728)
能力值: ( LV2,RANK:15 )
在线值:
发帖
回帖
粉丝
3
具体的要成为MVI成员才会和你说
2024-7-15 14:21
0
雪    币: 348
活跃值: (4296)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
逆向了一下貌似和服务有关系可能你得要注册一个带有专门证书的服务然后还和wscsvc这东西有点关系
2024-7-15 14:30
0
雪    币: 348
活跃值: (4296)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
还有个com接口uuid是F2102C37-90C3-450C-B3F6-92BE1693BDF2
2024-7-15 14:40
0
雪    币: 348
活跃值: (4296)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
找到个未文档化api wscRegisterSecurityProduct
2024-7-15 14:47
0
雪    币: 348
活跃值: (4296)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
这个api调用到了wscsvc s_wscRegisterSecurityProduct 这下差不多可以知道到底咋工作的了
2024-7-15 15:09
0
雪    币: 348
活跃值: (4296)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
 if ( type == SECURITY_PRODUCT_TYPE_ANTIVIRUS )
  {
    ValidateCallerAMPPL((int *)&v32, a1, L"s_wscRegisterSecurityProduct", a3, a4);
    v12 = (int)v32;
    if ( (_DWORD)v32 )
      goto LABEL_83;
    v7 = a1;
    v8 = v34;
  } 
这api需要你有杀毒软件的那个证书
ValidateCallerAMPPL就是在验证这个
2024-7-15 15:10
0
雪    币: 210
活跃值: (1847)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
EX呵呵 这个api调用到了wscsvc s_wscRegisterSecurityProduct 这下差不多可以知道到底咋工作的了
非常非常非常感谢 果然还是要变成MVI才可以,想请问下你这个逆向的入口点是从哪里找到的呀,我都没有思路
2024-7-15 15:11
0
雪    币: 348
活跃值: (4296)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
wx_0xC05StackOver 非常非常非常感谢 果然还是要变成MVI才可以,想请问下你这个逆向的入口点是从哪里找到的呀,我都没有思路
我研究了下火绒的wsctrl这个是火绒的安全中心服务,我发现他里面调用了个com接口也就是 F2102C37-90C3-450C-B3F6-92BE1693BDF2 然后这个com接口又对应wscisvif.dll 这个dll再往下就是 wscapi.dll(wscRegisterSecurityProduct就是在这边找到的),wscapi里通过rpc和wscsvc服务通信然后我就看了下wscsvc.dll然后就找到了s_wscRegisterSecurityProduct然后发现里面就是验证逻辑和注册逻辑
2024-7-15 15:23
0
雪    币: 348
活跃值: (4296)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
wx_0xC05StackOver 非常非常非常感谢 果然还是要变成MVI才可以,想请问下你这个逆向的入口点是从哪里找到的呀,我都没有思路
他这个验证貌似是通过进程的属性来看的,我感觉你要是能自制个驱动加载上去给自己进程的属性改的符合条件可能也能注册上
2024-7-15 15:24
0
雪    币: 210
活跃值: (1847)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
12
EX呵呵 我研究了下火绒的wsctrl这个是火绒的安全中心服务,我发现他里面调用了个com接口也就是 F2102C37-90C3-450C-B3F6-92BE1693BDF2 然后这个com接口又对应wscis ...
非常感谢提供思路!我本来想找赛门的样本来看的 十分感谢 再次拜谢!
2024-7-15 15:25
0
雪    币: 348
活跃值: (4296)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
13
wx_0xC05StackOver 非常非常非常感谢 果然还是要变成MVI才可以,想请问下你这个逆向的入口点是从哪里找到的呀,我都没有思路
  v9 = OpenProcess(0x1000u, 0, dwProcessId);
  ProcessInformation[0] = 0;
  InformationProcess = NtQueryInformationProcess(
                         v9,
                         ProcessAffinityUpdateMode|ProcessUserModeIOPL,
                         ProcessInformation,
                         1u,
                         0i64);
if ( (unsigned __int8)((ProcessInformation[0] & 7) - 1) > 1u || (ProcessInformation[0] & 0xF0) != 48 )
    v11 = 0;
2024-7-15 15:26
0
雪    币: 210
活跃值: (1847)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
14
EX呵呵 v9 = OpenProcess(0x1000u, 0, dwProcessId); ProcessInformation[0] = 0; InformationProcess = N ...
我看了下 SECURITY_PRODUCT_TYPE_ANTIVIRUS  这个逻辑和MVI的反病毒引擎接管是一样的,但是和防火墙接管也是一样的吗?
2024-7-15 15:35
0
雪    币: 348
活跃值: (4296)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
15
防火墙好像不太一样,他type里还有个反间谍软件不知道干啥的貌似啥都没干就直接return了
2024-7-15 15:36
0
雪    币: 348
活跃值: (4296)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
16
EX呵呵 防火墙好像不太一样,他type里还有个反间谍软件不知道干啥的貌似啥都没干就直接return了
防火墙好像还有个CreateExternalBaseFromCaller然后这里面还有啥CRpcImpersonateClient::IsDefender什么的具体没细看
2024-7-15 15:38
0
雪    币: 210
活跃值: (1847)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
17
wx_0xC05StackOver 我看了下 SECURITY_PRODUCT_TYPE_ANTIVIRUS 这个逻辑和MVI的反病毒引擎接管是一样的,但是和防火墙接管也是一样的吗?
好了 看到 SECURITY_PRODUCT_TYPE_FIREWALL 看来确实是一样的
2024-7-15 15:43
0
游客
登录 | 注册 方可回帖
返回
//