关于驱动的介绍参考<<了不起的Rootkit>>
我们都知道驱动处于0环级别,基本和内核平起平坐,加载到系统中是可以为所欲为的。在网络安全中,也是有很多恶意软件会利用驱动来获取系统R0级别操作权限,那么一般主要的难点有两个,其一在于加载驱动的时候会被防病毒拦截,其二在于要绕过微软的强制驱动签名检查(DSE)。针对第一点有很多办法可以绕过,这点在我之前的课程中也已讲过,而第二点绕过签名检查虽然有许多办法可以做到,但是这些办法也都是需要有前提条件的:
-
用一个有任意内存读写/执行漏洞的有合法签名的驱动先被加载进内核,然后利用驱动在内存中修改全局变量g_CiEnabled,修改完DSE就被关闭了。
-
同样需要一个有合法签名的驱动先被加载,然后利用这个驱动(可能是利用bug,也可能是驱动自己实现的功能)来完成无签名驱动的加载。
-
如果允许重启的话,可以“暴力破解”,直接修改掉内核文件(ntoskrnl.exe)和引导器里检查DSE的代码。
4.同理,如果允许重启的话,可以使用Bootkit,在内核加载前做上述修改。
相信您看到这里也明白了,最容易做到的办法就是得到一个带有合法签名同时又有漏洞的驱动程序。
开源工具Mhyprot2DrvControl专门滥用mhyprot2.sys 文件。该文件是由米哈游miHoYo公司开发的反作弊驱动程序。mhyprot2.sys 是一个正常的、经过身份验证,具有合法签名的驱动程序。恶意软件可以通过mhyprot2.sys访问内核区域。Mhyprot2DrvControl 的开发人员提供了多种功能,其中,攻击者可以使用强制终止进程的功能来开发可关闭多个反恶意软件产品的恶意软件。
工具下载地址:https://github.com/kagurazakasanae/Mhyprot2DrvControl
原文始发于微信公众号(老鑫安全):傻瓜式一键KILL防病毒
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论