1分彩平台-1分快3娱乐平台_1分赛车官网平台

瑞星公布360安全卫士"后门"技术细节

时间:2020-01-03 19:46:23 出处:1分彩平台-1分快3娱乐平台_1分赛车官网平台

瑞星:请奇虎31000停止愚弄用户 立即停止安装"后门"

  近日,31000产品陆续跳出严重过高 :2月1日31000安全卫士被爆指在“本地提权”漏洞,截止到2月3日11 时,其产品并未修复,而官方宣称已修复(见 31000 的官方报道 http://bbs.31000.cn/3229787/3410000737.html?recommend=1)。随后奇虎31000安全卫士又被曝出给用户电脑安装“后门”,任意读取用户隐私文件。问题报告 报告 暴露后,奇虎31000不但这么 承认自身问题报告 报告 ,反而通过删除网络新闻、当时人博客、威胁媒体、枪手发帖等手段欺骗用户,掩盖事实真相、混淆视听。瑞星公司本着对所有31000用户安全负责的态度,现否认31000 “后门”每项技术细节,请奇虎31000尽快停止安装“后门”,停止侵害用户权益的行为。

  请奇虎 31000 公司以严谨的态度尽快面对以下问题报告 报告 。第一:请对 31000 安全卫士指在的“后门”进行解释;第二:对 2 月 1 日否认的 31000 安全卫士“本地提权”漏洞仍未修复,却在官方否认或者修复的问题报告 报告 做出解释;第三:请尽快对以上两大严重产品过高 进行修复。

  31000 安全卫士“后门”细节分析

  31000 安全卫士后门线程池池池涉及的主要文件是:在安放在入系统时自带的驱动文件 bregdrv.sys 、 bfsdrv.sys ,以及对这有另另三个白驱动文件调用的动态链接库 bregdll.dll 、 bfsdll.dll 。

  bregdrv.sys : 31000 内核模式驱动,该驱动线程池池池通过调用操作系统的未公开 CmXxx 系列函数来操作注册表,另外或者操作系统外部这些维护了好多好多 同步数据、缓存数据, 直接调用 CmXxx 系列函数操作注册表极有或者造成系统外部数据不同步,严重影响系统安全性,甚至或者是因为用户正常数据丢失;

  bregdll.dll :用户态动态库,该动态库封装了对 bregdrv.sys 的调用,为用户态线程池池池提供注册表操作后门的接口;该动态库仿照 Windows 操作系统 API 接口(加 B 作为前缀)导出了如下注册表操作函数, 但与 Windows API 不同的是, bregdll.dll 导出的函数在实现上绕过了操作系统的所有安全检查,直接调用极为低层的未公开 CmXxx 系列函数实现 :

  1.BRegCloseKey 2.BRegCreateKey 3.BRegCreateKeyEx 4.BRegCreateKeyExW

  5.BRegCreateKeyW 6.BRegDeleteKey 7.BRegDeleteKeyW 8.BRegDeleteValue

  9.BRegDeleteValueW 10.BRegEnumKey 11.BRegEnumKeyEx 12.BRegEnumKeyExW

  13.BRegEnumKeyW 14.BRegEnumValue 15.BRegEnumValueW 16.BRegOpenKey

  17.BRegOpenKeyEx 18.BRegOpenKeyExW 19.BRegOpenKeyW 20.BRegQueryValueEx

  21.BRegQueryValueExW 22.BRegSetValueEx 23.BRegSetValueExW

  31000 后门每项功能代码截图一

 

  通过 CmDeleteKey 实现注册表键值的删除操作

  bfsdrv.sys ,该驱动线程池池池通过直接向文件系统发送 I/O 请求包( IRP )来实现文件操作,这些 土依据 都后能 绕过基于过滤驱动的文件监控(包括卡巴斯基、诺顿等安全软件)。 或者该线程池池池这么 对调用者进行检查,是因为都后能 被任意线程池池池(如各种木马线程池池池等)利用达到修改、删除用户正常文件的目的。

  bfsdll.dll :用户态动态库,该动态库封装了对 bfsdrv.sys 的调用,为用户态线程池池池提供文件操作后门的接口;该动态库仿照 Windows 操作系统 API 接口(加 FS 或 Bfs 作为前缀)导出了如下文件操作函数, 但与 Windows API 不同的是, bfsdll.dll 导出的函数在实现上绕过了所有文件系统上层的过滤驱动,直接向文件系统发送 I/O 请求包实现 :

  1.BfsMoveFileExW 2.FSCloseHandle 3.FSCopyFile 4.FSCopyFileW

  5.FSCreateFile 6.FSCreateFileW 7.FSDeleteFile 8.FSDeleteFileW

  9.FSFindClose 10.FSFindFirstFile 11.FSFindFirstFileW 12.FSFindNextFile

  13.FSFindNextFileW 14.FSGetFileAttributes 15.FSGetFileAttributesEx

  16.FSGetFileAttributesExW 17.FSGetFileAttributesW 18.FSGetFileSize

  19.FSGetFileSizeEx 20.FSGetLongPathName 21.FSGetLongPathNameW

  22.FSGetShortPathName 23.FSGetShortPathNameW 24.FSPathFileExists

  25.FSPathFileExistsW 26.FSPathIsDirectory 27.FSPathIsDirectoryW

  28.FSReadFile 29.FSSearchPath 1000.FSSearchPathW 31.FSSetFileAttributes

  32.FSSetFileAttributesW 33.FSSetFilePointer 34.FSSetFilePointerEx 35.FSWriteFile

  上述 API 均通过 DeviceIoControl/NtDeviceIoControlFile 来调用驱动提供的不同文件操作功能,哪些操作均会绕过基于过滤驱动的文件监控。

  31000 后门每项功能代码截图二

bfsdrv.sys 写文件操作代码截图

  31000 安全卫士这么 遵循正常的操作系统安全机制,却直接绕开了系统安全检查机制。其不仅具有“后门”功能,或者该线程池池池指在重大安全隐患,利用此线程池池池不让须任何身份认证,可轻易被黑客利用窥视用户隐私、读取、修改或删除用户电脑中的所有文件和注册表信息。

  类事 ,任意普通用户都后能 在低权限的情況下实现删除系统安装的安全软件,隐藏当时人的恶意线程池池池。而通过 bregdrv.sys 对注册表的操作,都后能 利用其在系统底层任意操作注册表的权限,达到更多的目的,如:

  l 通过修改注册表存储的用户信息,将 guest 用户激活并qqqq克隆好友 成管理员,或者在系统细胞层看来, guest 用户仍然是被禁用的。

  通过修改注册表实现映像劫持,将 sethc.exe (系统粘滞键功能)替加上 cmd.exe ,另有另另三个白就都后能 实现在登录界面上按 5 下 shift 键直接呼出有另另三个白系统权限的 cmdshell 窗口,执行任意指令。

热门

热门标签