|
|
chi病毒利用ring0搞得沸沸扬扬,现在进入ring0的方法已经又不少了,利用驱动程序进入RING0;用读写物理内存的方法来读写GDT所在的物理内存,在GDT上生成自己的调用门来进入ring0;利用结构化异常处理以及利用中断门的方法进入RING0等。另外的方法还有利用下面的漏洞。
1、NTLDR漏洞——NTLDR就是系统的引导过程中的重要角色,主要任务就是将x86 实模式转到保护模式,装载Ntbootdd.sys文件等.而其中也包括了装载GDT。然而微软并没有保护NTLDR,也就是说,如果病毒创建一个调用门,写入NTLDR,那么系统启动的时候就会将调用门装载。然后就可以利用这个后门来进入RING0了。
2、HAL漏洞——微软没有保护HAL.DLL,而且ExAcquireFastMutex()是第一个被导出的函数(很方便HOOK),又是一个执行得很频繁的函数。HOOK HAL.DLL的ExAcquireFastMutex()。在函数执行前先执行我的代码,往IDT里添加INT FE陷阱门。重新启动后就可以通过它进入RING0。
==============================
MGF病毒(原病毒为良性)的作者向微软报告了这两个漏洞,然而微软置之不理。Funlove.4608病毒则是恶性病毒。面对优先权高于驱动程序的病毒,那些“放火墙”和“傻堵”软件这回估计要傻眼了。
我们唯一能防范的就是尽量减少执行来历不明的执行软件。
[ 本帖最后由 netwinxp 于 2008-3-19 03:37 PM 编辑 ] |
|
IP卡
狗仔卡
发表于 2008-3-19 15:33:12
收藏
支持
反对
提升卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡