1   1  /  1  页   跳转

[转载] 恢复ssdt 绕过 主防

恢复ssdt 绕过 主防

ring3下感染驱动->恢复ssdt


http://www.debugman.com/discussion/2785/ring3%E4%B8%8B%E6%84%9F%E6%9F%93%E9%A9%B1%E5%8A%A8-%E6%81%A2%E5%A4%8Dssdt/




通过直接恢复SSDT(系统服务分派表)的方式解除核心原生API钩子

http://blog.csdn.net/s_ongfei/archive/2008/12/11/3500391.aspx




发现瑞星在对抗 恢复 ssdt  上存在弱点 ,只要ssdt被恢复 ,瑞星 就挂了  ,不能 自动挂接 ssdt




而  江民 x 都能自动挂接 ,建议 瑞星能改进!!!


先传上 网址 ----关于ssdt的




病毒样本  后续 上传
















用户系统信息:Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US) AppleWebKit/534.3 (KHTML, like Gecko) Chrome/6.0.472.33 Safari/534.3 SE 2.X MetaSr 1.0
分享到:
gototop
 

回复:恢复ssdt 绕过 主防

看看样本测一下玩玩
gototop
 

回复 1F shulun743 的帖子

开启磁盘底层防御可以拦截吧
gototop
 

回复:恢复ssdt 绕过 主防

请楼主上传您说的样本文件。
gototop
 

回复: 恢复ssdt 绕过 主防

系统:windows xp-sp3

浏览器:ie6

操作:运行样本,触发系统加固和行为防御 ,全部 允许。

结果:病毒 加载 beep驱动后 ,还原了 瑞星的 ssdt  ,造成 瑞星失效,并且 病毒接管了硬盘控制权 ,穿透 还原卡!

附件附件:

下载次数:189
文件类型:application/octet-stream
文件大小:
上传时间:2011-5-14 9:09:43
描述:rar

附件附件:

下载次数:190
文件类型:application/octet-stream
文件大小:
上传时间:2011-5-14 9:09:43
描述:rar

gototop
 

回复:恢复ssdt 绕过 主防

样本已收集分析,感谢您的支持。
gototop
 

回复:恢复ssdt 绕过 主防

确实穿透
gototop
 

回复:恢复ssdt 绕过 主防

恢复SSDT很容易 既然人家都提醒你了  你为什么要点允许呢 按照你说的做"Inline hook"就没事了  如果那个时候 人家还提醒你  你还允许 一样可以被干掉
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT