ZUDN

摘要： 之前曾讲过通过PhysicalMemory进入RING0的一些绕过攻击方式：(http://hi.baidu.com/mj0011/blog/item/1c92ed03bea96d80d53f7c00.html）其中提到的为\Device\PhysicalMemory创建符号链接的方式来绕过对ZwOpenSection打开这个Section的拦截，这个实际很多安全软件都已经防御了，例如Comodo , 卡巴，等等，但是他们仅仅是拦截对\Device\PhysicalMemory的Symbolic Link创建，这样足够吗？答案当然是否定的。我们仔细看\Device\PhyscialMemory 阅读全文

摘要： 众所周知，WINDOWS 2000/XP/2003 SP0系统上，提供了一个\Device\PhysicalMemory的Section对象，可以直接操作物理内存对象。直接操作此对象映射的物理内存，可以操作RING0内存，达到无驱进入RING0的目的。这已是很多年前就被用烂了的技术了，大部分驱动防火墙、绝大部分HIPS软件、AntiVirus软件等都对此进行了防御。不过，老树也能开新花，我们来看看这个东东的新利用方法:1).CreateSymbolicLink,这也是很古老的方法，很多安全软件也已经防御。因为一些安全软件只防御了NtOpenSection,并根据打开的对象名是否是\Device 阅读全文