|
阅读:1940回复:5
如果在ring0中守住了ring3加载驱动的途径,在ring3中还有办法绕过去吗?
首先声明,本人菜鸟,请各位大牛不要见笑。
看到当前出了很多anti-rk,不管怎样他们都要进入到ring0中才能发威, 我所知道的从ring3进入ring0中的方法好像有: 1.加载驱动 a.ZwLoadDriver b.创建服务并启动 2.通过中断门从ring3中直接int进入ring0 当然,也有ring0中加载驱动的其它方法,这里讨论ring3进入ring0,所以这块就先不考虑了。 假如我们把方法1和方法2都堵上了(通过hook ssdt或是在内核的其它地方hook或patch), 我们在ring3中一加载驱动或打开某些内核对象,这些rk就干脆拒绝(当然,把我们的驱动变个名字加载这种有点ws的方法先不考虑),对于这种情况,如何应付呢? 但愿我说清楚了。。。。。。。。。。。。 |
|
|
沙发#
发布于:2007-03-07 02:08
改硬盘启动区啦,ntldr啦,之类的貌似也可以
还有0day啦 ,xxxx,yyy啦 貌似也可以进r0 另外现在貌似是个XX都会用变名甚至变形加密之类的方法了,如何识别RK也是个XX的问题 |
|
|
|
板凳#
发布于:2007-08-08 16:50
在 USER 权限 + NTFS 分区下,无论多强悍 ROOTKIT 都无奈...
除了未补丁系统的一些提权漏洞,或一些在ADMIN 下安装的一些软件漏洞(如瑞星的提权漏洞..)下,根本就不可能提权为 ADMIN ,驱动加载和RING0 无从谈起. 对系统文件和目录也只有读权限, 也无法修改启动扇区或 NTLDR .木马病毒就算运行也不会有所作为.. |
|
|
地板#
发布于:2007-08-08 18:49
楼上让我无语了
|
|
|
|
地下室#
发布于:2007-08-11 22:55
可以用社会工程学,呵呵。
 比如弹出一个警告框: 系统发生严重错误,部分数据可能被损坏。 请立刻以管理员账户登陆,系统将尝试自动修复。 用户一点“确定”就创建一个全屏窗口,模拟登陆界面。看上去就像被自动注销或锁定用户那样。“用户名”一项自动填上Administrator,就等用户输入密码啦。如果用户没有按Ctrl-Alt-Del的习惯,可能就被骗了。 顺便说一下,XP登陆界面比较难模拟。(不知道Admin的账户图片能不能以User权限查到。) 其实XP也有2000风格的登陆界面,在欢迎屏幕连按两次Ctrl-Alt-Del就出来了。不过一般用户不知道,只模拟2000风格就弄巧成拙了。 |
|
|
|
5楼#
发布于:2007-08-13 23:10
引用第4楼zzzevazzz于2007-08-11 22:55发表的 : 这个牛,顶一个~~太厉害了~ |
|