Langouster 's Blog(虾 窝)

昨天分析了下鬼影的驱动文件atixx.sys，分析了大概8、9成，学到了一些东西。

1.从这个木马里看到了一条IDA不认识的指令，mov     eax,cr0它对应的机器码是0f20c0；

2.还有指令lock jmp，非常干扰IDA的分析；

3.另外返回使用jmp     dword ptr [esp-4]会对动态调试造成影响

4.驱动文件执行一段加密一段，干扰静态分析。

...

2月16号我发布一篇《最近发现的一个windows溢出0day演示》，当时只是说理论存在非管理员权限下利用的可能性，因为当时只找到管理员权限下利用的方法。

这两天重新研究了下这个漏洞，终于在Win7下找到了非管理员权限下利用的方法，其它系统也能溢出，但有个security_cookie没能突破，不能做到执行指定shellcode。

利用此漏洞只要在Win7 User权限下执行一下一个小程序，就能导致内核溢出，然后执行内核shellcode，shellcode里Attach到system权限的进程，插apc，然后添加一个管理员权限的用户。

给自己做个记号

1.先运行Windbg安装目录下的gflags.exe，Image File,Image填exe名字，不要全路径，选上Create user mode stack trace database；

2.在Windbg中调试模式运行程序，在退出时显示：

e:\vs工程\tests\testsdlg.cpp(101) : {125} normal block at 0x003B9578, 100 bytes long.
...

1.此漏洞为Windows某处设计缺陷引起，应该是早期Windows遗留下来的问题，具体细节就不说了

2.受此漏洞影响的代码不少，有Microsoft的也有第三方的；
漏洞可能引发的后果可能是堆溢出或栈溢出，目前发现的全为栈溢出;
受此漏洞影响的代码可能是Ring3的也可能是Ring0的,溢出成功后得到的权限也有差别；
此漏洞的利用权限本身没有要求，但我目前只找到可以在管理员权限下触发的方法.

3.用途：Ring3程序进入Ring0、加载驱动、过主防等。

一不小心从某软件里看到一个强大的dll与强大的sys，直接上图看dll的导出函数：

看到了吗，可以直接调一下就隐藏进程。

由于这个软件的使用范围还非常的广，所有这两个文件基本已被杀软白名单放过，上传到virustotal上看看：

sys文件:     结果: 1/41 (2.44%)

...

maxthon的插件功能里存在一个漏洞，使得打开本地html时可能执行任意代码。

例子中是一个自动下载示例程序并运行的例子。示例程序没有危害，只弹对话框。

本地打开下载运行.rar

数字电视具有双向通信的特点，不少地方利用这一特点开发了代收水电气费、座机电话费、手机电话费等业务，用户选择进入缴费栏目后输入账号密码即可，由此可能暴露出一个安全问题，通信链路中如果存在监听者乍办，如果数字电视服务商出现内鬼或被黑怎么办？攻击者可以监听用户的上行数据，从中发现敏感信息。我没研究过通信过程是否加密，以及加密的算法等，无聊猜测而已。

今天跟同事聊起时，同事还提到一个更加好玩的想法，劫持播放内容，在播放内容中插播广告，以此盈利。

前段时间从朋友处拿到一个Word的溢出样本，看了下，应该是很老的漏洞洞了，Office2003不开补丁有效，打了SP补丁就无效，本时我对这方面研究的不太多，就分析分析当学习。

这里不进溢出的原因、构造什么的，只分析它的Shellcode，它的Shellcode也是有两段的，重点功能在第二段上，里面用到了不少不错的想法，它有以下特点：

1。在Kernel32 模块中查找API用了HASH法，方便并可缩小shellcode体积。

2。里面有一段根据文件大小获得文件句柄的算法很巧妙。

...