首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 编程技术
    3. 发新帖
[原创]Vista和WIN7下利用MircoCodeUpdate加载驱动Demo
发表于: 2009-5-10 03:24 10855

[原创]Vista和WIN7下利用MircoCodeUpdate加载驱动Demo

qihoocom 活跃值
9
2009-5-10 03:24
10855

这个小DEMO花了我两个周末的时间~主要是修改mcupdate.dll太麻烦了,还是参考了diyhack 的方法,并且对remotethread做了一些猥琐的改造,才搞定了

在这里感谢DIYHACK提供的线索~

原先说WIN7上用microcode加载驱动,但是xHalMicroCode没实现,其实不是没实现,而是在halinitsystem时填充(ntoskrnl 做SystemStartup时调用),其实就是hal私有dispatch表,当时居然没注意。。。

另外VISTA也支持MICROCODE加载驱动,这个就不多说了

DEMO的主要原理是通过cpuid指令确定CPU类型,BUILD MCU UPDATE DLL的路径,然后启动TrustedInstall服务,注入之,覆盖mcupdte dll,然后unload muc update的image ,再reload

这样我们的驱动可以得到一次内核的执行机会

其他细节:

(1).vista/win7的系统文件防护太强大了。第一周我直接磁盘感染(因此有了前面某篇BLOG),失败,提权失败,然后改注入TrustedInstall服务,发现createremotethread居然也有猫腻~太猥琐了。因此DEMO理对createremotethread做了比较不通用的手脚,测试程序我只在VISTA SP0/SP1上跑过,WIN7上不知道会不会有问题,不过应该可行

(2).感染完mucupdate.dll加载完,一定要记得在驱动里或者注入trustedinstall再改回来,因为重启时是由ntldr加载mcuupdate,会检查微软的签名,签名不过系统就启动不了~其实本来这个可以做bootkit,因为mcuupdate是boot load,然后halinitsystem会在很早的地方调用它,不过没有签名,所以不行了~

所以测试这个DEMO务必在虚拟机中进行,并且最好开启boot debugging,用WINDBG调试系统,这样就不会因为没签名而无法启动,一旦进不去了,用vmware直接映射虚拟机系统盘都改不了mcupdate_GenuineIntel.dll ~当然我的这个DEMO程序可以改,参考微软的话:

*** Windows is unable to verify the signature of the file \Windows\system32\mcupdate_GenuineIntel.dll. It will be allowed to load because the boot debugger is enabled.

demo程序下载: MircoCode.rar

使用方法:

(1).虚拟机内测试,做好snapshot,用bcdedit /bootdebug on和bcdedit /debug on开启BOOT调试,用WINDBG调试虚拟机(此步骤不是必须,但以防万一~不然进不了系统不要找我)

(2).备份system32下mcupdate_xxxxx.dll(xxxx为你的CPU类型)文件

(3).将xxload.exe和mcud.sys复制到同一目录(例如桌面),以管理员权限运行xxload.exe

(4).你可以看到成功的提示后,用冰刃等工具查看内核模块列表,可以看到大小4096的mcud.sys已经成功进驻内核模块,同时c:\windows\system32\mcupdate_xxxx.dll也被改成了这个文件

(5).完了将备份的mcupdate覆盖为mcud.sys,运行xxload将文件覆盖回来,不然重启就启动不了了~


[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

上传的附件:
收藏
免费 7
支持
分享
最新回复 (7)
liuyusong
雪    币: 113
活跃值: (16)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
强帖,飘过!学习学习!
2009-5-10 08:04
0
jackozoo
雪    币: 1450
活跃值: (35)
能力值: (RANK:680 )
在线值:
发帖
回帖
粉丝
私信
3
MJ大牛出手的都是重量级的~   膜拜~~~ (虽然看不懂
2009-5-10 08:12
0
sudami
雪    币: 709
活跃值: (2420)
能力值: ( LV12,RANK:1010 )
在线值:
发帖
回帖
粉丝
私信
4
太强大了太强大了~~~
2009-5-10 13:45
0
xzchina
雪    币: 615
活跃值: (1212)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
5
邪恶势力 膜拜
2009-5-10 20:18
0
cvcvxk
雪    币: 8835
活跃值: (2404)
能力值: ( LV12,RANK:760 )
在线值:
发帖
回帖
粉丝
私信
6
膜拜MJ~~~~~
2009-5-10 20:56
0
Isaiah
雪    币: 331
活跃值: (56)
能力值: ( LV13,RANK:410 )
在线值:
发帖
回帖
粉丝
私信
7
不知道这个什么时候被修复。
2009-5-11 12:16
0
漂亮乞丐
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
8
此贴应为精华!
2009-5-11 15:58
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//