大部分函数判断都是直接丢进程(或目标进程)到RING3去走黑白名单或规则,这种做法有好处就是比较可靠,反正参数也不判断,直接告诉用户谁谁谁在XXX谁谁谁。
但都丢给用户了,没什么意思。用户全选拒绝,于是很安全,但是大部分程序都挂了,用户全允许,就没安全了,而且貌似默认模式下很多钩子都没效果了~
剩下那些做了一些判断处理的函数里(因为要是这些不处理,弹框就弹死人了)也有一些问题:
驱动拦截时路径名分析有一些问题,可以绕过
消息拦截时对其他进程采用部分拦截,不是很全面,但是对自己进程的拦截采用部分放行,比较可靠。
但是窗口的保护拦截不是很全面。虽然对进程本身没有影响。
SetHook中有我之前说的那个漏洞的问题
LPC拦截很遗憾地没有做svc的
绕过的漏洞应该不少,从功能上说,比较丰富,但是从防护强度上说,可能尚不如瑞星或微点。
由于过分依赖XXXX,所以面对MAX法很脆弱,这方面的攻击方法绕过COMODO的很多
自我保护不够完善,例如RING3下用MAX法绕过拦截,再用TerminateJob即可结束。
其中也有一些有意思的小技巧,例如hdc to hwnd,IoSetTopLevelIrp , CallHwndParamLock拦EnableWindow等。
类别:?
