首页
论坛
课程
招聘
[分享]不小心看到系列:IFEO的另一个使用方式
2018-5-24 16:51 5255

[分享]不小心看到系列:IFEO的另一个使用方式

2018-5-24 16:51
5255
真的是不小心看到的
偶尔在一个新款ARK工具中看到
1)判断event和判断驱动(忽略)
2)加载驱动(驱动Callback没啥可说的,忽略)
3)写注册表,然后复制自己文件名为tools123.exe 启动tools123.exe。
该注册表导出如下:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\tools123.exe]
"MitigationOptions"=hex(b):00,01,00,01,00,00,00,00
windows 10.0.17134.48 x64上tools123.exe再次启动后,针对tools123的注入各种姿势失败,大体上就是分配内存返回0xC0000604(STATUS_DYNAMIC_CODE_BLOCKED)(驱动callback已经摘掉)

猫腻出在EPROCESS的MitigationFlags上(ntos!PspReadIFEOMitigationOptions),有兴趣可以深入挖掘。



//吹水群了解一下:qq群:48715131


第五届安全开发者峰会(SDC 2021)10月23日上海召开!限时2.5折门票(含自助午餐1份)

最后于 2018-5-24 16:52 被cvcvxk编辑 ,原因:
收藏
点赞1
打赏
分享
最新回复 (11)
雪    币: 271
活跃值: 活跃值 (688)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
sxpp 活跃值 1 2018-5-24 16:59
2
0
雪    币: 207
活跃值: 活跃值 (1114)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
yy虫子yy 活跃值 2018-5-24 17:14
3
0
PspReadIFEOMitigationOptions  会调用  PspReadOptionsMapFromIFEO  ?
雪    币: 8670
活跃值: 活跃值 (814)
能力值: ( LV12,RANK:760 )
在线值:
发帖
回帖
粉丝
cvcvxk 活跃值 10 2018-5-24 17:15
4
0
yy虫子yy PspReadIFEOMitigationOptions 会调用 PspReadOptionsMapFromIFEO ?
是啊

最后于 2018-5-24 17:15 被cvcvxk编辑 ,原因:
雪    币: 207
活跃值: 活跃值 (1114)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
yy虫子yy 活跃值 2018-5-24 17:19
5
0
这应该是win10的新特性,才会出  STATUS_DYNAMIC_CODE_BLOCKED
雪    币: 31
活跃值: 活跃值 (76)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
MaMy 活跃值 2018-5-24 17:50
6
0
各种神力....
另一种自我保护?
雪    币: 10465
活跃值: 活跃值 (4173)
能力值: ( LV9,RANK:270 )
在线值:
发帖
回帖
粉丝
hzqst 活跃值 3 2018-5-25 13:42
7
0
微软:知道了,下个版本修复
雪    币: 4325
活跃值: 活跃值 (768)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
blindtiger 活跃值 1 2018-5-26 00:29
8
0
系统关键进程都有这个保护  8.1  以上的系统就有 顺便说一句 这个Flag偏移  有3个不同的版本
最后于 2018-5-26 00:30 被blindtiger编辑 ,原因:
雪    币: 1
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
梦儿_185751 活跃值 2018-6-26 21:47
9
0
小哥哥,会写TP过检测,的驱动吗?
雪    币: 29
活跃值: 活跃值 (114)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
漫呦呦 活跃值 2018-7-6 17:02
10
1
大神,为啥群搜不到
雪    币: 290
活跃值: 活跃值 (833)
能力值: ( LV5,RANK:75 )
在线值:
发帖
回帖
粉丝
囧囧 活跃值 2018-10-23 16:28
11
0
原来是这个
雪    币: 57
活跃值: 活跃值 (13)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
生活与荣耀 活跃值 2020-1-27 01:54
12
0
看看
游客
登录 | 注册 方可回帖
返回