【火绒安全软件漏洞】

IceLolly · 发表于 2020-3-17 09:58:25

发现一些火绒安全能导致安全防护功能失效的漏洞，望官方尽快修复。
详情：https://github.com/SweetIceLolly/Huorong_Vulnerabilities

火绒运营专员 · 发表于 2020-3-17 09:59:31

您好，我们本地确认一下，感谢您的反馈~

lifan88 · 发表于 2020-3-17 16:18:24

楼主你这是在重现duqu攻击卡巴的手段吗？跪了跪了

Buger404 · 发表于 2020-3-18 08:37:27

望官方尽快修复。
已根据楼主的代码在本地进行测试。
在将UAC拉至最高级别，火绒设置默认，禁用Windows Defener的情况下
该源码示例可以通过普通用户权限结束或挂起火绒托盘程序

在取得管理员权限后，该源码示例能够绕过火绒拦截并结束火绒进程完成部分恶意行为。

Buger404 · 发表于 2020-3-18 08:39:13

望官方尽快修复。
已根据楼主的代码在本地进行测试。
在将UAC拉至最高级别，火绒设置默认，禁用Windows Defener的情况下
该源码示例可以通过普通用户权限结束或挂起火绒托盘程序
在取得管理员权限后，该源码示例能够绕过火绒拦截并结束火绒进程完成部分恶意行为。

火绒运营专员 · 发表于 2020-3-18 11:01:49

Buger404 发表于 2020-3-18 08:39
望官方尽快修复。
已根据楼主的代码在本地进行测试。
在将UAC拉至最高级别，火绒设置默认，禁用Windows Def ...

收到

火绒运营专员 · 发表于 2020-3-19 17:09:24

您好，我们已经确认这些问题，技术人员正在跟进，感谢您的反馈~

【问题ID22676 22679 22680 22683 22619】

IceLolly · 发表于 2020-3-19 22:36:25

火绒运营专员发表于 2020-3-19 17:09
您好，我们已经确认这些问题，技术人员正在跟进，感谢您的反馈~

好的，希望能尽快修复。

火绒运营专员 · 发表于 2020-3-31 12:11:42

您好，BugID：22676 BugID:22679 BugID:22683 BugID:22619已在5.0.41.0解决

BugID：22680 窗口程序无法知道消息来源，所以无法过滤。

感谢您的反馈~

IceLolly · 发表于 2020-4-2 12:31:04

火绒运营专员发表于 2020-3-31 12:11
您好，BugID：22676 BugID:22679 BugID:22683 BugID:22619已在5.0.41.0解决

BugID：22680 窗口程序无法知 ...

感谢官方做出的回应。请问BugID 22680对应的是哪个bug?

火绒运营专员 · 发表于 2020-4-2 13:10:36

IceLolly 发表于 2020-4-2 12:31
感谢官方做出的回应。请问BugID 22680对应的是哪个bug?

使用SendMessage函数可以模拟鼠标点击提示弹窗的【允许】按钮

IceLolly · 发表于 2020-4-3 06:49:57

火绒运营专员发表于 2020-4-2 13:10
使用SendMessage函数可以模拟鼠标点击提示弹窗的【允许】按钮

写了个可能可行的解决方法，希望能帮到工程师。

message_validation.pdf (173.48 KB, 下载次数: 267)

IceLolly · 发表于 2020-4-3 07:50:45

火绒运营专员发表于 2020-3-31 12:11
您好，BugID：22676 BugID:22679 BugID:22683 BugID:22619已在5.0.41.0解决

BugID：22680 窗口程序无法知 ...

您好，我经过测试后发现KillHipsDaemon和KillTray1仍然能结束掉火绒的进程。请确认一下这两个已经修复，谢谢！