国外安全技术高手谈卡巴斯基存在隐患

互联网 | 编辑: 杨剑锋 2007-06-18 09:30:00转载一键看全文

用户层指针验证不足

KAV安装的很多关联（甚至还包括很多定制的系统服务）都不断出现对系统来说很致命的漏洞。例如，KAV修改过的NTOpenProcess试图通过与固定值0x7fff0000相对照来判定用户地址是否合法。在大多数x86系统上，这个地址是低于最高用户地址的（即0x7FFEFFFF）。但是，把用户地址空间固定这种做法并不明智。例如，有个可以在boot.ini文件中进行设置的boot参数"/3GB"，能改变默认的地址空间分配方式，即将2GB内核、2GB用户空间修改成1GB内核、3GB用户空间。如果运行KAV的系统被设置了/3GB，那么只要参数地址是位于用户地址空间的前2GB里，任何对NtOpenProcess的调用（比如Win32的OpenProcess）都会随机失败。

.text:F82237B0 ; NTSTATUS __stdcall KavNtOpenProcess(PHANDLE ProcessHandle,
	ACCESS_MASK DesiredAccess, POBJECT_ATTRIBUTES ObjectAttributes,
	PCLIENT_ID ClientId)
.text:F82237B0 KavNtOpenProcess proc near              ; DATA XREF: sub_F82249D0+BFo
.
.
.
.text:F8223800    cmp     eax, 7FFF0000h  ; eax = ClientId
.text:F8223805    jbe     short loc_F822380D
.text:F8223807
.text:F8223807 loc_F8223807:                           ; CODE XREF: KavNtOpenProcess+4Ej
.text:F8223807    call    ds:ExRaiseAccessViolation

比较合适的、进行此项验证的方法应该是：使用带有SEH框架的ProbeForRead存档函数。这种功能在地址是非合法用户的地址的时候，会自动阻止其访问。

另外，很多KAV的定制系统服务都没有好好地验证用户层的指针自变量，而黑客们正可以利用这些自变量来使系统崩溃。

.text:F8222BE0 ; int __stdcall KAVService10(int,PVOID OutputBuffer,int)
.text:F8222BE0 KAVService10    proc near               ; DATA XREF: .data:F8227D14o
.text:F8222BE0
.text:F8222BE0 arg_0           = dword ptr  4
.text:F8222BE0 OutputBuffer    = dword ptr  8
.text:F8222BE0 arg_8           = dword ptr  0Ch
.text:F8222BE0
.text:F8222BE0    mov     edx, [esp+OutputBuffer]
.text:F8222BE4    push    esi
.text:F8222BE5    mov     esi, [esp+4+arg_8]
.text:F8222BE9    lea     ecx, [esp+4+arg_8]
.text:F8222BED    push    ecx             ; int
.text:F8222BEE    mov     eax, [esi]      ; 未验证的用户层指针访问
.text:F8222BF0    mov     [esp+8+arg_8], eax
.text:F8222BF4    push    eax             ; 输出缓存长度
.text:F8222BF5    mov     eax, [esp+0Ch+arg_0]
.text:F8222BF9    push    edx             ; 输出缓存
.text:F8222BFA    push    eax             ; int
.text:F8222BFB    call    sub_F821F9A0    ; 
                                          ; 该例行程序从内部假设所有的指针参数都是合法的。
.text:F8222C00    mov     edx, [esi]
.text:F8222C02    mov     ecx, [esp+4+arg_8]
.text:F8222C06    cmp     ecx, edx
.text:F8222C08    jbe     short loc_F8222C13
.text:F8222C0A    mov     eax, 0C0000173h
.text:F8222C0F    pop     esi
.text:F8222C10    retn    0Ch
.text:F8222C13 ; -----------------------------------------------------------------
.text:F8222C13
.text:F8222C13 loc_F8222C13:              ; CODE XREF: KAVService10+28j
.text:F8222C13    mov     [esi], ecx
.text:F8222C15    pop     esi
.text:F8222C16    retn    0Ch
.text:F8222C16 KAVService10    endp

.text:F8222C20 KAVService11    proc near               ; DATA XREF: .data:F8227D18o
.text:F8222C20
.text:F8222C20 arg_0           = dword ptr  4
.text:F8222C20 arg_4           = dword ptr  8
.text:F8222C20 arg_8           = dword ptr  0Ch
.text:F8222C20
.text:F8222C20    mov     edx, [esp+arg_4]
.text:F8222C24    push    esi
.text:F8222C25    mov     esi, [esp+4+arg_8]
.text:F8222C29    lea     ecx, [esp+4+arg_8]
.text:F8222C2D    push    ecx
.text:F8222C2E    mov     eax, [esi]      ; 非合法用户层指针的访问
.text:F8222C30    mov     [esp+8+arg_8], eax
.text:F8222C34    push    eax
.text:F8222C35    mov     eax, [esp+0Ch+arg_0]
.text:F8222C39    push    edx
.text:F8222C3A    push    eax
.text:F8222C3B    call    sub_F8214CE0    ; 这段例行程序在内部假设所有的指针参数都是合法的
                                          ; 所有的指针参数都是合法的
.text:F8222C40    test    eax, eax
.text:F8222C42    jnz     short loc_F8222C59
.text:F8222C44    mov     ecx, [esp+4+arg_8]
.text:F8222C48    mov     edx, [esi]
.text:F8222C4A    cmp     ecx, edx
.text:F8222C4C    jbe     short loc_F8222C57
.text:F8222C4E    mov     eax, STATUS_INVALID_BLOCK_LENGTH
.text:F8222C53    pop     esi
.text:F8222C54    retn    0Ch
.text:F8222C57 ; -------------------------------------------------------------------
.text:F8222C57
.text:F8222C57 loc_F8222C57:              ; CODE XREF: KAVService11+2Cj
.text:F8222C57    mov     [esi], ecx
.text:F8222C59
.text:F8222C59 loc_F8222C59:              ; CODE XREF: KAVService11+22j
.text:F8222C59    pop     esi
.text:F8222C5A    retn    0Ch
.text:F8222C5A KAVService11    endp

提示：试试键盘 “← →” 可以实现快速翻页

总共 7 页< 上一页 1 2 3 4 5 下一页 >

一键看全文

本文导航

每日精选

ROG游戏手机9系列新品发布会直播

ROG游戏手机9系列11月19日19:00新品发布，反正超AI玩！等你来看！

标签：游戏手机| ROG9| 发布会| 直播| 2024-11-19
红魔10 Pro上手体验：风扇加持，堪称游戏党梦中情机

红魔10 Pro以独特的设计、出色的性能与稳定的影像表现，成为当前电竞旗舰手机中的佼佼者。它不仅是行业中少有的背部纯平设计，搭配6.85寸全面屏，带来极具视觉冲击的体验，整体外观显得更加规整、精致。

标签：红魔| 10| Pro| 带来| 极致| 2024-11-19
十铨推T-CREATE EXPERT P32移动固态至高16TB超大扩容

十铨科技宣布推出T-CREATE EXPERT P32移动固态硬盘，最高16TB容量可选，打造海量桌面存储空间。

标签：十栓| 移动硬盘| 固态硬盘| 2024-11-16
Redmi Turbo 4取代K80E 2K档高规格玩转性价比

Redmi王腾在此前透露，Redmi K80系列只有两款机型，K80E被砍掉了。不过K80E空出来的市场，是会有机型来填补的，而补位机型大概就是Redmi Turbo 4了。

标签： Redmi| RedmiTurbo4| 性能| 2024-11-16
10月家电线下市场：彩电零售额规模同比上涨82.1%

10月彩电线下零售额规模同比上涨82.1%；均价为7909元，同比上涨23.9%。

标签：彩电| 2024-11-16
Reno13系列及IoT生态新品发布会将举行邀请函已到手

至于还有哪些充满惊喜的新品，就让我们共同关注OPPO Reno13 系列及 IoT 生态新品发布会吧！

标签： Reno13| 2024-11-17
诠释智能化实力长城汽车携全场景NOA亮相广州车展

在2024广州车展上，长城汽车展示了其在智能化领域的领先实力，宣布全场景NOA全国开城，并推出升级版Coffee OS 3.1，带来更优质的用户体验。展会上，20余辆全新蓝山（沧浪青配色）吸引众多目光，象征着长城汽车在智能化转型中的坚实步伐。全新蓝山凭借长城Hi4技术和智能驾驶系统，荣获多项行业大奖，展现卓越性能。长城汽车将继续推进智能化与全球化发展，致力于提供更高品质的出行体验。

标签：长城汽车| 广州车展| 2024-11-16
OPPO Reno13 11月25日发布：iPhone同款冷雕玻璃工艺打造

知名数码博主“数码闲聊站”爆料称，“之前暗示过了，Reno13系列的外围规格很足，还有这个档位少见的极窄边框，给你们看看真机吧，四窄边直屏+金属中框，小Ophone质感不输iPhone”。

标签： OPPO| Reno| 日发布| 日发| 发布| 2024-11-17
联想推开天X1信创超轻碳纤维笔记本搭KX-6000G仅0.99kg

兆芯宣布与联想携手推出信创首款超轻碳纤维笔记本电脑开天X1，基于航天级碳纤维材质打造，成为新一代国产旗舰级超轻薄笔记本电脑。

标签：联想| 兆芯| 笔记本| 国产| 2024-11-17
卢伟冰爆猛料 Redmi K80五大升级命中用户诉求

据小米卢伟冰爆料称，Redmi K80对消费者的诉求全部命中，具体有五大升级点，分别是性能，续航，质感，影像，Deco变小。

标签： Redmi| RedmiK80| 爆料| 性能| 2024-11-18