黑客利用CPU降频驱动终结杀软
💡
原文中文,约6900字,阅读约需17分钟。
📝
内容提要
黑客通过合法驱动ThrottleStop.sys的漏洞,重命名并结合恶意程序All.exe,获取内核内存访问权限,进而终止安全软件进程。该驱动的IOCTL功能允许管理员读取和写入物理内存,成为攻击的关键。
🎯
关键要点
- 黑客利用合法驱动ThrottleStop.sys的漏洞,获取内核内存访问权限。
- ThrottleStop.sys驱动由TechPowerUp开发,主要用于监控和修复CPU降频问题。
- 驱动的IOCTL功能允许管理员读取和写入物理内存,这是攻击的关键。
- 黑客将ThrottleStop.sys重命名为ThrottleBlood.sys,并与恶意程序All.exe结合使用。
- ThrottleBlood.sys驱动带有合法证书,允许黑客利用其进行攻击。
- 恶意程序All.exe包含大量杀毒软件的进程名,旨在禁用系统防御。
- 黑客通过SCM API加载ThrottleBlood.sys驱动,劫持内核函数。
- 恶意程序利用NtQuerySystemInformation函数获取已加载内核的基址和目标函数地址。
- 使用SuperFetch技术将虚拟地址转换为物理地址,以执行读写操作。
- 恶意软件选择NtAddAtom作为系统调用,通过ntdll.dll间接调用内核函数。
- 通过DeviceIoControl函数,恶意软件对NtAddAtom函数的物理内存进行读写。
- AV killer通过Process32FirstW()和Process32NextW() API查找目标进程并终止它们。
- 恶意软件硬编码了目标安全软件的列表,以便识别并终止相关进程。
❓
延伸问答
黑客是如何利用ThrottleStop.sys驱动的漏洞的?
黑客通过重命名ThrottleStop.sys为ThrottleBlood.sys,并结合恶意程序All.exe,利用驱动的IOCTL功能获取内核内存访问权限,进而终止安全软件进程。
ThrottleStop.sys驱动的主要功能是什么?
ThrottleStop.sys驱动主要用于监控和修复CPU降频问题,常见于游戏玩家。
恶意程序All.exe的作用是什么?
All.exe是黑客的AV killer,包含大量杀毒软件的进程名,旨在禁用系统防御。
黑客如何获取内核函数的地址?
黑客利用NtQuerySystemInformation函数获取已加载内核的基址和目标函数地址,以便进行后续的读写操作。
恶意软件是如何终止安全软件进程的?
恶意软件通过调用Process32FirstW()和Process32NextW() API查找目标进程,并利用存在漏洞的驱动调用内核函数终止匹配的进程。
ThrottleBlood.sys驱动的合法性如何?
ThrottleBlood.sys驱动带有合法证书,允许黑客利用其进行攻击,尽管其本身是合法驱动的变种。
➡️
