关于卡巴斯基升级后与火绒产品冲突的说明
来源: 哔哩哔哩 2023-08-15 18:48:10
2023年8月11日,火绒安全收到大量用户反馈:在同时安装火绒与卡巴斯基的终端上,出现关机后反复重启、无法正常进入系统桌面的情况。经过火绒安全工程师本地排查和测试确认,此问题由卡巴斯基近期升级存在Bug导致。
升级后的卡巴斯基驱动程序(klupd_klif_ 版本号:)会拦截火绒虚拟沙盒驱动模块正常的内部程序逻辑,导致火绒获取到错误的物理地址数据,进而发生系统异常。
此外,卡巴斯基的驱动程序(klupd_klif_ 版本号:)还存在其他Bug,造成火绒产品其他功能也存在无法正常使用的情况。
(资料图片仅供参考)
针对本次情况,火绒安全已与卡巴斯基反馈,目前还未得到有效回复。为保障用户不受到卡巴斯基产品Bug的影响,火绒产品已采取临时规避措施,但该调整会影响火绒查杀速率和查杀率,还请用户注意。
未同时安装火绒和卡巴斯基的用户不会受到该调整影响。我们会继续与卡巴斯基官方尝试沟通以解决该问题。
另:今年4月卡巴斯基也曾因为HOOK了火绒驱动,影响到火绒产品查杀效率,该问题现已解决。
火绒安全
2023年8月15日
附文中所述卡巴斯基Bug的具体分析:
此次用户系统大面积崩溃的关键原因是因为卡巴斯基的驱动程序(klupd_klif_) HOOK了火绒驱动()IAT里的MmGetPhysicalAddress函数导致的。如下图:
在对卡巴斯基驱动(klupd_klif_)进行分析后发现,klupd_klif_会对火绒驱动()进行IRP HOOK和IAT HOOK,相关代码如下:
安装IAT HOOK相关代码如下图:
卡巴斯基驱动会根据驱动文件信息判断是否需要进行IAT HOOK,相关代码如下图:
如果驱动IAT表内存在以下函数就会被IAT HOOK,如下图:
卡巴斯基驱动(klupd_klif_) 对MmGetPhysicalAddress函数进行IAT HOOK后的相关代码如下图:
在此能发现他会对参数一BaseAddress进行判断,相关代码如下图:
在上图check_prot_physical_addr 函数里能发现有一组列表,当被HOOK的驱动程序想使用MmGetPhysicalAddress访问某一地址时会拿BaseAddress和列表内的数据进行比较,判断是否在列表的访问范围内。如果是在访问范围内会被拒绝。
通过windbg查看后得知此列表内保存的地址是所有驱动程序的开始地址和结束地址,如下图:
此时不难看出,当火绒驱动()在被HOOK后调用 MmGetPhysicalAddress函数访问自身程序地址时会被拒绝并返回0。
卡巴斯基的驱动程序(klupd_klif_)在初始化时会保存所有驱动程序的开始地址和结束地址,对于后续加载的驱动程序会在PsSetLoadImageNotifyRoutine回调里也进行保存。最终形成一个保护表,被IAT HOOK的驱动里使用MmGetPhysicalAddress函数访问被保护的驱动程序的地址时,MmGetPhysicalAddress会返回物理地址0,后续火绒虚拟沙盒的虚拟化逻辑被破坏,进而导致系统崩溃(即使火绒判断返回的物理地址0,也会导致逻辑失败进而导致火绒反病毒引擎业务逻辑出现问题)。驱动程序获取自身镜像或分配的内存的物理地址属于正常操作,而卡巴斯基的HOOK本质上是破坏了第三方程序的业务逻辑,进而导致第三方程序或系统出现异常。
火绒驱动()使用 MmGetPhysicalAddress获取火绒自身代码页、数据页物理地址(实现虚拟沙盒相关逻辑使用)相关代码如下图:
同时卡巴斯基的驱动程序(klupd_klif_)也会对火绒驱动()设备对象“\\Device\\HR::Actmon“的IRP_MJ_DEVICE_CONTROL进行HOOK,相关图如下:
安装IRP HOOK相关代码如下图:
卡巴斯基驱动程序会根据字符串特征来判断当前驱动是否需要安装IRP HOOK,相关代码如下图:
最后获取并保存设备对象“\\Device\\HR::ActMon“,相关代码如下:
卡巴斯基的驱动程序(klupd_klif_)安装完IRP HOOK后会拦截修改火绒驱动()相关功能,并且造成影响,相关代码如下图:
但这里依旧出现了BUG,”\\Device\\HR::ActMon”设备对象的IoControlCode值0x220044是属于其他功能模块的。但通过分析发现此处是在判断文件路径,而在火绒驱动()设备对象” \\Device\\SysDiag::IOKit”里的0x220044是驱动删除文件功能。猜测他是想保护自身文件不被火绒剑删除,但他却判断错了设备对象。判断文件路径相关代码如下图:
早在2023年4月卡巴斯基的IRP HOOK在代码上存在bug、导致误拦截了部分IOCODE消息、从而导致火绒部分功能失效。如下图:
此前BUG用户反馈图如下:
标签:
猜你喜欢
关于卡巴斯基升级后与火绒产品冲突的说明
2023-08-15 18:48:10
虎牙第二季度总收入18.2亿元 Non-GAAP净利润1.15亿元
2023-08-15 18:18:18
甘肃省武威市2023-08-15 17:27发布大风蓝色预警
2023-08-15 18:16:39
苏有朋现身电影《学爸》首映礼 透露新片将开机
2023-08-15 17:41:48
跟随“降息”!央行下调常备借贷便利各期限利率10个基点
2023-08-15 17:39:03
恒基达鑫与保税科技签署战略合作协议
2023-08-15 17:22:34
全国生态日这天,西海湿地开展了这样一场有意义的活动……
2023-08-15 17:22:14
山东聊城上半年新登记经营主体5.1万户
2023-08-15 16:37:31
首个全国生态日 四川公布9件“双碳”典型案例
2023-08-15 16:36:29
上海:到2025年算力总规模较“十三五”期末翻两番
2023-08-15 16:13:47
国际观察|历史不得遗忘!警惕日本新军国主义动向
2023-08-15 16:08:45
医联创始人王仕锐:优化医疗供给侧 为患者健康保驾护航
2023-08-15 15:18:25
东风科技(600081)8月15日主力资金净卖出65.05万元
2023-08-15 15:11:10
中富电路股东户数增加14.72%,户均持股6.64万元
2023-08-15 15:00:59
最高检、国家林草局:强化林草领域执法司法衔接
2023-08-15 14:57:30
国家统计局:PPI降幅有望进一步收窄
2023-08-15 13:54:10
一波五连胜,“中国莎娃”夺冠,世界排名创新高
2023-08-15 13:59:16
政策密集推出,提振家居产业升级发展
2023-08-15 13:32:37
宇晶股份:拟受让自然人朱正评所持有的宇星碳素总股本34.00%股权
2023-08-15 13:11:16
男性在日常生活中应如何防止早泄?
2023-08-15 12:26:28
鸿运扇电机接线图为什么没有保险丝(鸿运扇电机接线图)
2023-08-15 12:23:10
什么是UL2056测试报告?
2023-08-15 12:21:53
窗口期很短!*ST交昂提示终止上市风险
2023-08-15 12:16:27
提升城市综合防灾减灾能力
2023-08-15 11:31:46
红焖羊肉怎么做?
2023-08-15 11:33:44