【新朋友】点击标题下面蓝字「皮鲁安全之家」关注【老朋友】点击右上角，分享或收藏本页精彩内容【公众号】搜索公众号：皮鲁安全之家，或者ID ：piluwill概述：研究人员发现，TSA行李扫描仪、恶意USB以及智能家居是2014年最具创意也最让人害怕的一些黑客攻击目标。在充斥着一系列让人痛心而又前所未有的网络犯罪潮流中，人们很容易忘记那些白帽子在2014年进行的更具创意也更让人惊讶的黑客技术。但从今年一连串的售商被黑事件中——起初是Target被黑，随后出现对索尼前所未有的毁灭性及doxing泄露——所吸取的教训冷冰冰地提醒我们，任何组织机构的计算基础架构都可被黑帽子黑客攻破。这就要求我们必须在黑帽子动手之前找到新漏洞。2014年爆发的真实泄露事件使恶意入侵活动带来的危害公之于众，而这些恶意活动是白帽子黑客多年来在研究中所警告和所证明的。是的，我们每年回看白帽子黑客本年所展示的黑客技巧时会有一种更加深刻的感觉。即便如此，让我们稍微避开一些节日的气氛来看一看2014年最让人难以忘怀、最具创意的黑客技术：武器化的可编程逻辑控制器（PLC）可编程逻辑控制器（PLC）是在发电厂及生产基地运行机械的系统，传统上是旨在扰乱或破坏关键系统的攻击目标。但Digital Bond研究人员Stephen Hilt在2014年初期决定在一个低成本黑客工具上安装一个PLC，允许系统通过一条短信关闭进程控制网络。所谓的“PLCpwn”黑客工具花掉Hilt大概400美元，且用了几周的时间来构建，并让一个攻击者绕过周边安全及气隙对工厂车间造成严重损坏。Hilt表示，“这款工具能够通过一条短信引发大规模的破坏。它能够横扫整个STOP CPU子网，”并且具备泄露数据、发动注入式攻击的能力。Hilt的武器化PLC使用的攻击模块之前由Digital Bond编写而成，并且通讯基于一个具有DualComm Tap及DroneCell卡的5伏Raspberry Pi板。欺骗TSA的随身行李扫描仪事实证明，你可以轻而易举地携带一件武器或者违禁物品通过美国机场的安检，方法是利用“烂漏洞”——这一漏洞存在于TSA检查站用来扫描随身行李的X射线扫描仪中。这就是知名研究员Billy Gios对Rapiscan 522 B X射线系统（一些主要机场中所使用的TSA）中存在漏洞的描述。Rios及其同事Terry McCorkle在扫描仪中发现了一些危害程度高的未修复漏洞，包括以明文形式存储的用户凭证、过时的Windows 98操作系统，以及筛选工具的训练特征；它将禁用品如枪支或刀具的.bmp图像注入乘客随身携带的物品以此来检验训练过程中筛选工具的反应。研究人员表示，弱登陆可能会允许黑帽子对X射线的显示规划虚假的图像。他们能够轻易地绕过登录筛选并且看到在数据库商店中存储的用户凭证。“这些bug实际上是个尴尬的问题。将它们报告给国土安全局让人尴尬——也就是绕过登录筛选的能力存在问题。这些bug真的非常烂。”Rios表示。通过海陆空入侵卫星地面终端Ruben Santamarta在流行的卫星陆地设备中发现了重要的设计漏洞，可允许攻击者劫持并破坏与船只、飞机、军事行动、工业设施以及急救服务的通讯。攻击者能够安装恶意固件，甚至可以发送一条短消息恶搞与船只等的通讯。让人更加恐惧的另外一种可能性是：它能够夺取对位于飞行中WiFi网络的卫星终端中卫星数据单元（Satellite Data Unit）或者SwiftBroadband单元界面的控制，方法是通过弱密码重设功能、硬编码凭证或者支持所谓AVIATOR 700卫星终端的不安全协议，以及控制飞行员所使用的卫星连接通讯频道。“我们不会击落飞机，”Santamarta说起潜在危险时表示，但是其中一些漏洞能够带来安全风险。在许多情况下，攻击者需要物理接近这些地面设备，并且了解固件及其安全漏洞的知识。智能家居并不那么精明如果攻击者对你的Nest学习恒温器或DropCam相机能够进行物理访问，一些坏事儿会非常容易发生——并且发生速度非常快。2014年夏，两组研究人员展示了一名攻击者如何将设备变为监控设备拥有者的工具，并且对其他网络设备发起攻击，以及如何实施欺诈活动。来自中佛罗里达大学的研究员Grant Hernandez、Yier Jin以及独立研究员Daniel Buentello在美国黑帽子大会上展示了黑客如何在15秒之内通过控制一个微型USB连接线及后门监控设备主人、捕获无线凭证并攻击其他家庭网络设备。另外的一个风险是Nest被植入后门之后会被退回商店或在Cragigslist上转售被用于监控某个街区。DropCam是一款即插即用的网络摄像头监控系统，它会在你休假时替你照看房子或者照看托儿所的孩子，它也可以被以相似的方式滥用。来自Synack的研究员Patrick Wardle以及Colby Moore在2014年举行的DEF CON会议上展示了无线安全照相机中存在的漏洞，例如拦截视频、将hot-miking音频用于间谍目的。Wardie以及Moore插入了一个恶意软件“植入”，可影响用于配置DropCam照相机的计算机。“不要信任来自陌生人的摄像头”，Wardle表示。Nest黑客搭建智能恒温器的可能性呼应了这一主题。同时，卡巴斯基实验室安全研究人员David Jacoby最近对自己的智能家居进行了测试。没错，他黑了自己的智能家居，尤其是智能电视、卫星接收器、DVD/蓝光播放器、网络存储设备以及游戏机。“在开始之前，我很确信我家是非常安全的。我意思是说，我在安全领域工作的时间已经超过15年，而且当谈到诸如安全补丁的事儿时我比较偏执，”Jacoby在Darking Reading的一篇博文中分享自己的研究成果时指出。但Jacoby很快在联网存储系统、智能电视以及家庭路由器（包括默认弱密码、配置文件中的错误许可以及明文密码）中发现了漏洞。“用于向其他所有家庭设备提供无线互联网访问的DSL路由器包含几个隐藏的危险功能，可能会导致互联网提供商远程访问我个人网络中的任何设备。这些结果让我非常震惊。”Jacoby表示。损毁车辆交通控制系统研究人员Cesar Cerrudo背着一个背包，里面装着用来对访问车辆交通控制系统进行被动测试的原型访问点来到了大城市如华盛顿及纽约，他能够在离交通控制设备大概几百码远的地方获取并访问它们的接入点。Cerrudo发现，成百上千的路面交通传感器及中继设备都存在风险，攻击者可造成严重破坏，导致交通堵塞甚至是交通事故的发生。在实验中，Cerrudo发现设备与交通信息以明文形式进行通讯，且没有对数据进行认证，为破坏打开了一扇门。他用于测试的Sensys Networks传感器对车辆进行了检测，并且利用这个数据来确定交通灯的时间，并且对高速公路上的活动发布电子警报。“你可以嗅探无线数据，了解系统是如何配置如何工作的，然后利用虚假数据发动攻击。”Cerrudo表示。这个访问点将会接受虚假的交通数据，但攻击者需要了解AP、中继设备及传感器位于攻击者针对的交集位置。Sensys网络最近对该软件进行了更新，但Cerrudo表示要确认更新是否修复了这些安全漏洞是困难的，因为这些修复的性质是不公开的。一个糟糕的USB不要信任那个USB。研究人员Karsten Nohl及Jakob Lell创建了“BadUSB”，它是一个武器化的USB，一旦插入机器它便会对网络发动攻击。这两名研究人员实际上进行了逆向工程并且改良了固件以使之变为一种攻击工具参与诸如盗取信息或安装恶意软件的恶意活动。例如，一台插入电脑的安卓设备会拦截流入及流出电脑的所有网络流量。Nohl表示人们基本上没办法应对BadUSB带来的攻击。反恶意软件的工具只会对USB数据而不是固件进行扫描。通过重装操作系统并不能清除BadUSB，而且它能够通过冒充键盘及解锁USB上的隐藏文件来代替BIOS。网络存储器（NAS）中存在蠕虫Jacob Holcomb在2014年秋创建了关于一个自我复制蠕虫的PoC，可扫描运行在联网存储设备上的漏洞服务商，并且可识别出NAS设备。如果NAS易受攻击，蠕虫会通过一个利用来控制设备之后传播给其他NAS设备。“我想自己真正开发一个PoC，并且将它展现出来，这样随着我的研究被展示并被公开，并且在六个月之后当黑客试图利用蠕虫牟利时，人们能够理解它的波及面。”Holcomb表示。Holcomb是Independent Security Evaluators的一名安全分析师，他在过去一年左右的时间里一直在研究NAS设备中的漏洞，而易受攻击的产品列表包括Segate、D-Link、联想、Buffalo、西部数据、Netgear、ZyXEL、Asustor、TRENDnet、惠普以及Synology。“几乎我们所做的一切都依赖于某种形式的后端存储访问。”他指出。回复获得以下图文等信息论坛可进入微论坛畅谈任意官方机器人陪聊首页查看技术文档（逐步更新中）留言进入留言板相册国内外大牛真容　
　文章为作者独立观点，不代表微头条立场
的最新文章
苹果推出最新iOS 9系统后风波不断，新一代iOS除了加入多项新功能及优化机能外，还出现了一些问题频遭用户吐槽，比如微博的界面语言变成英文，很多网友直呼看不懂。苹果推出最新iOS 9系统后风波不断，新一代iOS除了加入多项新功能及优化机能外，还出现了一些问题频遭用户吐槽，比如微博的界面语言变成英文，很多网友直呼看不懂。【新朋友】点击标题下面蓝字「皮鲁安全之家」关注【老朋友】点击右上角，分享或收藏本页精彩内容【公众号】搜索公众【新朋友】点击标题下面蓝字「皮鲁安全之家」关注【老朋友】点击右上角，分享或收藏本页精彩内容【公众号】搜索公众与现在安全界流行的威胁情报不同，我们在威胁情报的工作更核心的是基于公司业务实际出发而开始的，整个过程较为朴素，没有那么多高大上的工具整合，一切以为安全提供实际支撑为核心。【新朋友】点击标题下面蓝字「皮鲁安全之家」关注【老朋友】点击右上角，分享或收藏本页精彩内容【公众号】搜索公众近日，安全研究人员正在对美国宇航局的好奇号月球车进行安全分析，并在好奇号月球车的操作系统中发现了系统后门。【新朋友】点击标题下面蓝字「皮鲁安全之家」关注【老朋友】点击右上角，分享或收藏本页精彩内容【公众号】搜索公众【新朋友】点击标题下面蓝字「皮鲁安全之家」关注【老朋友】点击右上角，分享或收藏本页精彩内容【公众号】搜索公众【新朋友】点击标题下面蓝字「皮鲁安全之家」关注【老朋友】点击右上角，分享或收藏本页精彩内容【公众号】搜索公众【新朋友】点击标题下面蓝字「皮鲁安全之家」关注【老朋友】点击右上角，分享或收藏本页精彩内容【公众号】搜索公众【新朋友】点击标题下面蓝字「皮鲁安全之家」关注【老朋友】点击右上角，分享或收藏本页精彩内容【公众号】搜索公众Turla APT组织，也被称为Snake或者Uroboros，是至今为止最为高级的威胁组织之一。该网络间谍组织已经存在长达8年的时间了，却很少被人知道。【新朋友】点击标题下面蓝字「皮鲁安全之家」关注【老朋友】点击右上角，分享或收藏本页精彩内容【公众号】搜索公众【新朋友】点击标题下面蓝字「皮鲁安全之家」关注【老朋友】点击右上角，分享或收藏本页精彩内容【公众号】搜索公众如果你是一个由国家资助的从目标计算机窃取数据的黑客,你想要实现的最后一件事,就是有人来定位你指挥和控制的服务器,并且关掉它,停止你能够与被感染的机器通信以及窃取数据的能力。【新朋友】点击标题下面蓝字「皮鲁安全之家」关注【老朋友】点击右上角，分享或收藏本页精彩内容【公众号】搜索公众“世界上最遥远的距离是，我在你身边，你却在找WIFI。”这句调侃正是“手机族”的真实写照。当人们越来越依赖手机，突然某一刻找不到网络时，很多人必然很抓狂。【新朋友】点击标题下面蓝字「皮鲁安全之家」关注【老朋友】点击右上角，分享或收藏本页精彩内容【公众号】搜索公众【新朋友】点击标题下面蓝字「皮鲁安全之家」关注【老朋友】点击右上角，分享或收藏本页精彩内容【公众号】搜索公众【新朋友】点击标题下面蓝字「皮鲁安全之家」关注【老朋友】点击右上角，分享或收藏本页精彩内容【公众号】搜索公众【新朋友】点击标题下面蓝字「皮鲁安全之家」关注【老朋友】点击右上角，分享或收藏本页精彩内容【公众号】搜索公众【新朋友】点击标题下面蓝字「皮鲁安全之家」关注【老朋友】点击右上角，分享或收藏本页精彩内容【公众号】搜索公众【新朋友】点击标题下面蓝字「皮鲁安全之家」关注【老朋友】点击右上角，分享或收藏本页精彩内容【公众号】搜索公众来自德国的安全公司G-Data发现，中国的手机制造商的超过12款安卓智能手机都在固件中预装了间谍软件，这些制造商包括小米、华为、联想、Alps、ConCorde、DJC、Sesonn和 Xido。【新朋友】点击标题下面蓝字「皮鲁安全之家」关注【老朋友】点击右上角，分享或收藏本页精彩内容【公众号】搜索公众【新朋友】点击标题下面蓝字「皮鲁安全之家」关注【老朋友】点击右上角，分享或收藏本页精彩内容【公众号】搜索公众piluwill关注网络安全，提升个人防护能力。本公众号承诺：绝不用危言耸听、哗众取宠的标题，绝不像大多数公众号造谣传谣、永远不会像大多数公众号那样，用造谣无知的内容去拉低您在朋友圈的智商。热门文章最新文章piluwill关注网络安全，提升个人防护能力。本公众号承诺：绝不用危言耸听、哗众取宠的标题，绝不像大多数公众号造谣传谣、永远不会像大多数公众号那样，用造谣无知的内容去拉低您在朋友圈的智商。【新朋友】点击标题下面蓝字「皮鲁安全之家」关注【老朋友】点击右上角，分享或收藏本页精彩内容【公众号】搜索公众号：皮鲁安全之家，或者ID ：piluwill前言最近不知为何掀起“黑百度”风，360老总不顾颜面微博喊话李彦宏，广大用户纷纷吐槽百度杀毒的静默安装、卸载不了以及软件捆绑安装。这些所谓安全软件的问题也不是一天两天了，之前就有人说某安全软件上传工程源码以完成所谓“云查杀”，又时不时涉嫌各种隐私问题，不一而足。之前在百度杀毒那边实习过一阵，感觉软件不至于无耻到网上所流传那种地步。这里我选择不同平台安装不同的百度产品，从安装到运行，以及卸载，看看它们到底多流氓。工具VM虚拟机、win7 x86、win7 x64、ProcessMonitor、ProcessExplorer、PCHunter、Windbg、VKD百度高速下载百度搜索某软件，会有“高速下载”选项，我们使用高速下载来作为测试：高速下载得到一个exe：npp.6.6.9.Installer_13478_BDdl.exe，图标是度熊手；普通下载得到的是：npp_V6.7_Installer..exe。从文件名可以目测出两个问题：1、高速下载得到的是捆绑了百度产品的2、高速下载得到的是低版本的。可能捆绑是需要时间的吧。那我们运行这个高速版看看会发生什么：首先映入眼帘的是百度下载助手的安装程序，百度的签名：然后下载助手安装成功，并启动notepad++的下载和安装。所以说之前那个npp.6.6.9.Installer_13478_BDdl.exe纯粹是混淆视听，就是baiduxiazaizhushou.exe，怪不得连图标都没变。再试几个其他的高速下载，都是会安装“百度下载助手”，然后再“高速”下载该软件。何来点了高速下载就会静默安装百度杀毒和百度卫士？这里黑得不漂亮啊！不过这个确实也属于欺骗用户的。倒是有时候下载的时候有个选项“安装百度杀毒”，默认是勾选的，如果不取消选择，那铁定是要中招了。我之前确实见过这种情况，不过写这篇文章测试的时候一直没搜出来，只好作罢。另外有一点我觉得是无脑黑，说什么百度搜索360会被屏蔽云云，可能纯粹是网络问题吧。百度说点竞争对手坏话倒有可能，大家都这样，不至于屏蔽竞争对手。我倒是觉得软件中心挺好，起码点下载就是下载，不至于点下载给你安装个美图秀秀；而且也过滤了一些不良软件。这些进步是应该看到的，大家互相黑的同时也在一定程度上互相促进了，对用户来说是好事。这个小问题解决之后我们看看百度杀毒和百度卫士有多少干货。百度杀毒下载百度杀毒最新版，安装并监控。我记得上次我装的时候确实什么都没提醒就装上了，这次测试的时候倒是提醒了。安装之后运行了这两个程序，可以看出一个是主防一个是杀毒服务：PCHunter可以看到百度杀毒装的驱动：有bd0001~bd0004、文件系统过滤、沙箱、反病毒等，驱动还是不少，感觉有点乱。毕竟是内核层的，搞这么多东西难免会出问题。注册了一些系统回调，用于监控进程创建、线程创建、模块加载、注册表更改、关机等，也是一些常规的回调，具体效果得看实现如何。也往往是干掉防护的突破口：Bd0003还有一个DPC定时器：0x8777DFB000x9875DE60C:\Windows\system32\DRIVERS\bd0003.sys文件系统过滤驱动BDFileDefender和BD0003也是实现了一些常规的IRP过滤：这个时候出了个意外，蓝屏了，windbg及时捕捉：
CHKIMG_EXTENSION: !chkimg -lo 50 -d !nt
83e8b3e9-83e8b3f0
8 bytes - nt!KiFastCallEntry+e9
[ 8b fc 3b 35 1c 07 fb 83:e9 f0 02 01 0b 90 90 90 ]
83eafb5f - nt!SwapContext_PatchXSave+2 (+0x24776)
83eafdad - nt!EnlightenedSwapContext_PatchXSave+2 (+0x24e)
83eb7ce0-83eb7ce3
4 bytes - nt!KiServiceTable+5f0 (+0x7f33)
[ e1 42 0d 84:72 97 21 92 ]
4 bytes - nt!PsOpenThread+20f
[ 88 c3 03 00:59 ae 21 23 ]
840a9b80-840a9b83
4 bytes - nt!NtTerminateProcess+43 (+0x22eed)
[ 81 25 fc ff:cc 87 1f 23 ]
840bc935-840bc938
4 bytes - nt!NtTerminateThread+51 (+0x12db5)
[ cc f7 fa ff:17 5a 1e 23 ]
840c0dfe-840c0e01
4 bytes - nt!PsOpenProcess+22d (+0x44c9)
[ 1d 22 00 00:ee 0c 1e 23 ]
840c411f-840c4122
4 bytes - nt!NtDuplicateObject+5d (+0x3321)
[ e2 7f fa ff:0d dc 1d 23 ]
34 errors : !nt (83e8b3e9-840c4122)
FOLLOWUP_NAME:
MachineOwner
MEMORY_CORRUPTOR:
PATCH_bd0001
FAILURE_BUCKET_ID:
MEMORY_CORRUPTION_PATCH_bd0001
BUCKET_ID:
MEMORY_CORRUPTION_PATCH_bd0001
Followup: MachineOwner
---------可以看到bd0001对ntoskrnl进行了patch，具体看看：kd& !chkimg !nt34 errors : !nt (83e8b3e9-840c4122)kd& ln 83e8b3e9(83e8b300)
nt!KiFastCallEntry+0xe9
(83e8b480)
nt!KiServiceExikd& u 83e8b3e9nt!KiFastCallEntry+0xe9:*** ERROR: Module load completed but symbols could not be loaded for bd0001.sys83e8b3e9 e9f002010b
bdde (8ee9b6de)83e8b3ee 90
nop83e8b3ef 90
nop83e8b3f0 90
nop83e8b3f1 0f832e020000
nt!KiSystemCallExit2+0xa5 (83e8b625)83e8b3f7 f3a5
rep movs dword ptr es:[edi],dword ptr [esi]83e8b3f9 f6456c01
byte ptr [ebp+6Ch],183e8b3fd 7416
nt!KiFastCallEntry+0x115 (83e8b415)百度杀毒的驱动对KiFastCallEntry进行HOOK，这是系统入口点，所有系统调用都会经过这个函数。我们需要了解一下系统调用的基本知识，应用层的API做一些参数检查工作之后会调用ntdll.dll的同名nt函数，比如CreateFile会调用ntdll.dll中的NtCreateFile函数（和ntdll.dll的ZwCreateFile完全一样），然后NtCreateFile填写参数之后执行sysenter或int 0x2E，这个时候由应用层进入内核层，内核分发函数就是KiFastCallEntry，它会根据应用层调用去执行SSDT的相应函数。所以KiFastCallEntry是防护软件绝佳的HOOK地点。最早应该是360发现的，所以360使用的HOOK点是最佳的，百度这里看到有nop填充，估计也是无奈之举。同时也能知道百度采用的是比较流行的驱动框架模型，bd0001是个驱动框架，其它驱动通过bd0001的接口注册回调，bd0001调用实现监控。再回头看这个蓝屏：kd& kbChildEBP RetAddr
Args to Child
a39a250c 83f24e71 fa590e4
nt!RtlpBreakWithStatusInstructiona39a255c 83f03 0d3adbc nt!KiBugCheckDebugBreak+0x1ca39a2920 83ecd8e3 d3adbc
nt!KeBugCheck2+0x68ba39a29ac 83e8e5f8 d3adbc
nt!MmAccessFault+0x106a39a29ac ad3adbc
nt!KiTrap0E+0xdcWARNING: Stack unwind information not available. Following frames may be wrong.a39a2a4c a72825cd a5d3ad90 a0020 PCHunter32ag+0x52e2fa39a2af8 aa0
PCHunter32ag+0x545cda39a2b0c a008f1
PCHunter32ag+0x548f7a39a2bfc 83e844bc b0 PCHunter32ag+0xc14 84085eee ba0 nt!IofCallDriver+0x63a39a2c34 840a2cd1 00 nt!IopSynchronousServiceTail+0x1f8a39a2cd0 840a54ac b0 nt!IopXxxControlFile+0x6aaa39a2d04 83e8b42a 00 nt!NtDeviceIoControlFile+0x2aa39a2d04 76fc64f4 00 nt!KiFastCallEntry+0x12a 76fc4cac 00000 ntdll!KiFastSystemCallRet001266dc 00 ntdll!NtDeviceIoControlFile+0xcIofCallDriver用于发送Irp，之后的栈就出问题了,reactos中看实现：NTSTATUSFASTCALLIofCallDriver(IN PDEVICE_OBJECT DeviceObject,
IN PIRP Irp){
return DriverObject-&MajorFunction[StackPtr-&MajorFunction](DeviceObject,
Irp);}看来是bd0001的分发函数调用出了问题。这个蓝屏纯属意外，恰好可以讲解一下百度杀毒的驱动模型和HOOK技术。现在回归主线。重启电脑。看一下大家比较关心的隐私问题，看看网络链接情况：Baidusdsvc.exe是和220.181.112.254的80端口保持通信的，该IP是北京电信的。Wireshark看一下通信内容，没发现往上传文件的情况。
再看看启动项：
这只是可执行文件和服务，看看驱动：挺多，大部分启动类型都是1，连bd0001都是1，也就是普通驱动，而不是BOOT型。BOOT型驱动启动类型为0，由winload.exe加载，和ntoskrnl.exe以及hal.dll同级，加载时间非常早；之后才加载系统级驱动。所以说如果中病毒了，而该病毒有个boot型驱动，用百度杀毒显然是无能为力的。百度杀毒卸载问题好多朋友都问我如何卸载百度杀毒，真有那么难以卸载吗？这里测试一下。卸载过程真是…… 把“不卸载”大写并且突出，“继续卸载”扁平化恨不得凹进去。不过识字的应该都能顺利卸载完成。接着重启。
没了。目测是卸载干净了。看了看注册表，bd0001等驱动都没了。看一下KiFastCallEntry等HOOK点：kd& !chkimg nt14 errors : nt (83e873e9-83eb3ce3)kd& ln 83e873e9(83e87300)
nt!KiFastCallEntry+0xe9
(83e87480)
nt!KiServiceExitkd& u nt!KiFastCallEntry+0xe9nt!KiFastCallEntry+0xe9:*** ERROR: Module load completed but symbols could not be loaded for bd0001.sys83e873e9 e9f0e29215
bdde (997b56de)83e873ee 90
nop83e873ef 90
nop83e873f0 90
nop83e873f1 0f832e020000
nt!KiSystemCallExit2+0xa5 (83ef7 f3a5
rep movs dword ptr es:[edi],dword ptr [esi]83e873f9 f6456c01
byte ptr [ebp+6Ch],183e873fd 7416
nt!KiFastCallEntry+0x115 (83e87415卧槽，居然还被HOOK呢。
看一下KiFastCallEntry等HOOK点：kd& !chkimg nt14 errors : nt (83e873e9-83eb3ce3)kd& ln 83e873e9(83e87300)
nt!KiFastCallEntry+0xe9
(83e87480)
nt!KiServiceExitkd& u nt!KiFastCallEntry+0xe9nt!KiFastCallEntry+0xe9:*** ERROR: Module load completed but symbols could not be loaded for bd0001.sys83e873e9 e9f0e29215
bdde (997b56de)83e873ee 90
nop83e873ef 90
nop83e873f0 90
nop83e873f1 0f832e020000
nt!KiSystemCallExit2+0xa5 (83ef7 f3a5
rep movs dword ptr es:[edi],dword ptr [esi]83e873f9 f6456c01
byte ptr [ebp+6Ch],183e873fd 7416
nt!KiFastCallEntry+0x115 (83e87415卧槽，居然还被HOOK呢。
试着删除bd0004，禁止删除，应该是下载助手。卸载百度下载助手之后试试。删除成功， 重启看看： kd& !chkimg nt
2 errors : nt (83ebbb5f-83ebbdad)这次没问题了。为什么卸载之后bd0001还会加载到内存呢？可能是我操作有误，重新试了一次发现安装——重启——卸载——重启之后，系统是干净的，没有出现卸载问题。卸载问题是怎么来的呢？考虑到推广，可能是被绑定软件搞的鬼。我们下载一个合作软件，通过绑定方式安装杀毒，看看卸载情况。不得不说，百度的情况肯定是被水军和职业黑夸大了，我找了好久都没找到绑定的情况，即使安装百度输入法并且一路下一步，都没能被绑定装上杀毒。X64情况Windows 64位对内核采取了一系列保护措施，最经典的就是KPP和DSE，Kernel Kernel Patch Protection主要使用PatchGuard，禁止修改内核，所以传统的SSDT Hook和修改内核对象等手段都走不通了；DSE强制驱动签名。所以64位驱动大多是使用windows官方定义的回调，结合应用层HOOK来搞。64位win7上装好杀毒，看了看services，跟32位的差不多，也是bd00001等系统级驱动。运行卸载程序之后重启，并没有发现不能卸载的情况。感觉非常不好，测试了半天连个流氓行为都没有捕获。难道那些流言都是空穴来风？问题复现测试了半天，没发现百度杀毒有问题。问了一些出问题的朋友，有的说是捆绑情况，杀毒、卫士、浏览器同时被装上，然后卸载重启之后右下角弹框，点修复就会重新装上。之前的测试只是针对百度杀毒一个，这次把杀毒、卫士都装上试试。官网直接下载某个非常小的下载器。会把最新版杀毒卫士都下载下来然后安装好。这个过程中确实没有任何提醒，没有下一步，直接就装好了，连安装地址都不能选择。PCHunter看了一眼吓一跳，能装的都装上了：驱动也多了几个：多了一些网络过滤驱动和浏览器防护的，这也是卫士的基本功能。其他的HOOK就不看了，都差不多。还是关注一下卸载问题。卸载百度杀毒，同时删除配置信息，重启。百度卫士修复了半天漏洞，优化这个那个的，反正界面很华丽得搞了半天。百度杀毒确实是卸载掉了。那么怎么样才能重现卸载不了的问题呢？我查了一下百度流氓行为的一些信息，按照他们说的某个软件，都测试过一次，均没有出现不能卸载这种奇葩现象。有一种情况是可能的，装百度杀毒和百度卫士，但是只卸载其中一个，另一个使用猥琐的方法（比如在修补漏洞界面非常隐蔽的隐藏一句同时安装杀毒/卫士）骗取用户同意然后重新安装另一个。驱动公用，想装另一个太容易了。另外我绝对不是托儿，首先我还不够资格；其次也没必要，我只是想亲自看看传说中的流氓行为，只不过搞了半天没有复现，仅此而已。杀软这种东西很大程度上是给小白用户个心理安慰，真正能有多大用呢？当然升级软件方便一些，清理垃圾也方便一些，沙箱针对一般恶意应用也提供了足够防护。各家厂商技术差距肯定存在，但是那些技术的差距落实到每个用户电脑上，又能有多大的体现？大佬们口水仗打得爽，跟用户其实没半毛钱关系，难不成你还真以为公司没事儿干为了情怀做个杀软让你用？装软件的时候也非常注意是不是捆绑了其他程序，多长个心眼儿，那些传说中的流氓行为都可以避免。现在最大的问题是法律法规对互联网行为没有做好规范，这个黑那个，那个黑这个，真正为用户考虑的没几个，号称为用户考虑也不过是宣传口号而已。真希望能早日做到有法可依。[作者/dedogger，作者独立观点，FreeBuf不做任何形式背书。本文属FreeBuf黑客与极客]回复获得以下图文等信息论坛可进入微论坛畅谈任意官方机器人陪聊首页查看技术文档（逐步更新中）留言进入留言板相册国内外大牛真容　
　文章为作者独立观点，不代表微头条立场
的最新文章
苹果推出最新iOS 9系统后风波不断，新一代iOS除了加入多项新功能及优化机能外，还出现了一些问题频遭用户吐槽，比如微博的界面语言变成英文，很多网友直呼看不懂。苹果推出最新iOS 9系统后风波不断，新一代iOS除了加入多项新功能及优化机能外，还出现了一些问题频遭用户吐槽，比如微博的界面语言变成英文，很多网友直呼看不懂。【新朋友】点击标题下面蓝字「皮鲁安全之家」关注【老朋友】点击右上角，分享或收藏本页精彩内容【公众号】搜索公众【新朋友】点击标题下面蓝字「皮鲁安全之家」关注【老朋友】点击右上角，分享或收藏本页精彩内容【公众号】搜索公众与现在安全界流行的威胁情报不同，我们在威胁情报的工作更核心的是基于公司业务实际出发而开始的，整个过程较为朴素，没有那么多高大上的工具整合，一切以为安全提供实际支撑为核心。【新朋友】点击标题下面蓝字「皮鲁安全之家」关注【老朋友】点击右上角，分享或收藏本页精彩内容【公众号】搜索公众近日，安全研究人员正在对美国宇航局的好奇号月球车进行安全分析，并在好奇号月球车的操作系统中发现了系统后门。【新朋友】点击标题下面蓝字「皮鲁安全之家」关注【老朋友】点击右上角，分享或收藏本页精彩内容【公众号】搜索公众【新朋友】点击标题下面蓝字「皮鲁安全之家」关注【老朋友】点击右上角，分享或收藏本页精彩内容【公众号】搜索公众【新朋友】点击标题下面蓝字「皮鲁安全之家」关注【老朋友】点击右上角，分享或收藏本页精彩内容【公众号】搜索公众【新朋友】点击标题下面蓝字「皮鲁安全之家」关注【老朋友】点击右上角，分享或收藏本页精彩内容【公众号】搜索公众【新朋友】点击标题下面蓝字「皮鲁安全之家」关注【老朋友】点击右上角，分享或收藏本页精彩内容【公众号】搜索公众Turla APT组织，也被称为Snake或者Uroboros，是至今为止最为高级的威胁组织之一。该网络间谍组织已经存在长达8年的时间了，却很少被人知道。【新朋友】点击标题下面蓝字「皮鲁安全之家」关注【老朋友】点击右上角，分享或收藏本页精彩内容【公众号】搜索公众【新朋友】点击标题下面蓝字「皮鲁安全之家」关注【老朋友】点击右上角，分享或收藏本页精彩内容【公众号】搜索公众如果你是一个由国家资助的从目标计算机窃取数据的黑客,你想要实现的最后一件事,就是有人来定位你指挥和控制的服务器,并且关掉它,停止你能够与被感染的机器通信以及窃取数据的能力。【新朋友】点击标题下面蓝字「皮鲁安全之家」关注【老朋友】点击右上角，分享或收藏本页精彩内容【公众号】搜索公众“世界上最遥远的距离是，我在你身边，你却在找WIFI。”这句调侃正是“手机族”的真实写照。当人们越来越依赖手机，突然某一刻找不到网络时，很多人必然很抓狂。【新朋友】点击标题下面蓝字「皮鲁安全之家」关注【老朋友】点击右上角，分享或收藏本页精彩内容【公众号】搜索公众【新朋友】点击标题下面蓝字「皮鲁安全之家」关注【老朋友】点击右上角，分享或收藏本页精彩内容【公众号】搜索公众【新朋友】点击标题下面蓝字「皮鲁安全之家」关注【老朋友】点击右上角，分享或收藏本页精彩内容【公众号】搜索公众【新朋友】点击标题下面蓝字「皮鲁安全之家」关注【老朋友】点击右上角，分享或收藏本页精彩内容【公众号】搜索公众【新朋友】点击标题下面蓝字「皮鲁安全之家」关注【老朋友】点击右上角，分享或收藏本页精彩内容【公众号】搜索公众【新朋友】点击标题下面蓝字「皮鲁安全之家」关注【老朋友】点击右上角，分享或收藏本页精彩内容【公众号】搜索公众来自德国的安全公司G-Data发现，中国的手机制造商的超过12款安卓智能手机都在固件中预装了间谍软件，这些制造商包括小米、华为、联想、Alps、ConCorde、DJC、Sesonn和 Xido。【新朋友】点击标题下面蓝字「皮鲁安全之家」关注【老朋友】点击右上角，分享或收藏本页精彩内容【公众号】搜索公众【新朋友】点击标题下面蓝字「皮鲁安全之家」关注【老朋友】点击右上角，分享或收藏本页精彩内容【公众号】搜索公众piluwill关注网络安全，提升个人防护能力。本公众号承诺：绝不用危言耸听、哗众取宠的标题，绝不像大多数公众号造谣传谣、永远不会像大多数公众号那样，用造谣无知的内容去拉低您在朋友圈的智商。热门文章最新文章piluwill关注网络安全，提升个人防护能力。本公众号承诺：绝不用危言耸听、哗众取宠的标题，绝不像大多数公众号造谣传谣、永远不会像大多数公众号那样，用造谣无知的内容去拉低您在朋友圈的智商。}