鬼仔's Blog

作者：MJ0011

Malware Defender(简称MD)是一个HIPS & Anti-Rootkit工具。

Malware Defender最新版本1.1.3(2008-09-24)的内核驱动存在多处内核拒绝服务漏洞，任意权限的用户在安装了MD可引发蓝屏出问题的组件：mdcore.sys(安装后随机命名） 版本1.1.0.0 CheckSum = 0x0003C26C TimeStamp = 0x48d88131
阅读全文 »

作者：MJ0011

中网S3是一款号称4D & 4M齐全的防火墙、HIDS/HIPS软件

其最新版本3.5.0.2及以下所有版本的驱动程序存在多出内核拒绝服务漏洞，可使任何权限用户在安装了中网S3的系统上引发蓝屏

出问题的组件(已验证版本)：NCFileMon.sys ,版本:5.2.3700.0(囧) , CheckSum = 0x00036d61,TimeStamp = 0x46f774e2
阅读全文 »

来源：80sec

漏洞说明： php是一款被广泛使用的编程语言，可以被嵌套在html里用做web程序开发。但是在php里使用的某些编码函数在处理畸形的utf8序列时会产生不正确的结果，这样在某些情况下可能会引起应用程序的安全漏洞，绕过某些逻辑过滤等等。

漏洞成因：php在处理utf8编码时，对畸形的序列处理不当，如
阅读全文 »

作者：MJ0011

EQ魔法盾的驱动程序员对用户态参数检查有一定概念，可惜没有正确理解ProbeForRead的用法，导致几乎所有的SSDT HOOK函数都存在用户态检查不正确的问题,漏洞多达数十处。

此漏洞可导致任意用户权限的程序可以在安装了EQ魔法盾的系统上引发蓝屏

出问题的组件：EQSysSecure.sys ,版本:2008.9.1.26 CheckSum = 0x0001EFD3 TimeStamp = 0x48BAC155

EQ魔法盾的驱动中有这样一个函数 :偏移608d处 sub_16c8d
阅读全文 »

作者：MJ0011

继续爆三个漏洞，微点一直没反映啊~看来都度假去了 这样可不行啊 病毒木马可是不休假的哦 O(∩_∩)O哈哈~

(1).微点对NtWriteFile-> Call ObReferenceObjectByHandle的HOOK中未对参数做有效性检查，可导致任意权限用户在安装了微点的系统上可引发系统蓝屏

存在漏洞的文件:mp110011.sys,版本:1.2.10237,CheckSum = 0x0002291a , TimeStamp = 0x488944d9

微点hook了NtWriteFile-> Call ObReferenceObjectByHandle并对其中的FileHandle进行检查，检查对应的设备对象->驱动对象是否是Disk，如果是的话，判断写入的偏移，进行阻截或放行
阅读全文 »

作者：MJ0011

国庆的早晨啊~再多爆料几个有问题的函数~~

参考文一：http://hi.baidu.com/mj0011/blog/item/e9bcc4390265fbf53a87ceb8.html

除了文一提到的两个函数~微点的内核驱动中实际存在着大量这样的问题

再提两个函数，也省得微点的工程师累死累活的找了~学习雷锋啊好榜样~~

(1). 对ZwDeleteValueKey 的HOOK函数对用户态参数没有做检查，导致任何权限用户在安装了微点的系统上可引发蓝屏

处理函数位于mp110009.sys, 版本:1.2.10045 ,CheckSum = 0xCC78 , TimeStamp = 0x48478FCF
阅读全文 »