火绒安全软件

标题: 一种破坏火绒安全服务的方法 [打印本页]

作者: Obscure霧雨 时间: 2024-7-5 14:43
标题: 一种破坏火绒安全服务的方法
该方法的最终效果就是火绒界面提示修复服务，但点击后无法修复
原理很简单，介于火绒默认不拦截服务的创建，先创建一个服务(服务名称按顺序要先于HipsDaemon，例如以123456作为服务名称)，服务需要为自动启动，group为Base，这样就可以使该服务略早于火绒安全服务模块运行
创建的该服务用于运行准备好的程序，程序先运行火绒安全服务模块，占住该程序的坑位(火绒安全服务不允许多开)，等待几秒后利用火绒的一个特性(https://bbs.huorong.cn/thread-136197-1-1.html)结束安全服务模块，并创建升级程序的进程占坑位(火绒服务修复是由升级程序执行的，该操作可阻止用户修复火绒的服务)
程序源码和样品见附件

源码和样品.zip

9.29 KB, 下载次数: 14469

作者: 火绒运营专员 时间: 2024-7-5 14:45
好的，这边确认下~

作者: flyratlove 时间: 2024-7-5 15:04
哈哈，有一种专利申请的即视感

作者: 火绒运营专员 时间: 2024-7-5 15:59
您好，您这边使用的火绒版本是多少呢？系统信息麻烦提供下~

作者: Obscure霧雨 时间: 2024-7-6 10:26
火绒版本：6.0.1.0
系统版本：Windows 11 专业工作站版 22H2 22621.3810

作者: 火绒运营专员 时间: 2024-7-6 10:29

Obscure霧雨发表于 2024-7-6 10:26
火绒版本：6.0.1.0
系统版本：Windows 11 专业工作站版 22H2 22621.3810

好的，我们本地确认下

作者: Obscure霧雨 时间: 2024-7-6 10:36

Obscure霧雨发表于 2024-7-6 10:26
火绒版本：6.0.1.0
系统版本：Windows 11 专业工作站版 22H2 22621.3810

经测试Win10也行

作者: 火绒运营专员 时间: 2024-7-6 10:39

Obscure霧雨发表于 2024-7-6 10:36
经测试Win10也行

好的，我们本地先确认下，有结果给您答复。

作者: 火绒运营专员 时间: 2024-7-9 15:22
楼主您好，经确认此问题设计如此，修复的逻辑为调用升级重新启动火绒服务，此时升级被占用导致无法修复，建议您结束升级后，再次重启火绒，点击修复

作者: Obscure霧雨 时间: 2024-7-10 09:00
升级程序的进程是在SYSTEM账户以Session 0运行的，没有交互的窗口，用户无法手动结束升级

作者: Obscure霧雨 时间: 2024-7-10 09:05
如果恶意程序利用该方法，火绒服务在第一次被破坏的时候恶意程序基本就可以为所欲为了，而且创建的用于破坏火绒的服务是开机启动的，如果用户没有删除或禁用此服务，下一次开机火绒服务仍会是被破坏的状态

作者: 火绒运营专员 时间: 2024-7-10 09:24

Obscure霧雨发表于 2024-7-10 09:05
如果恶意程序利用该方法，火绒服务在第一次被破坏的时候恶意程序基本就可以为所欲为了，而且创建的用于破坏 ...

收到，这边再看下

作者: 火绒运营专员 时间: 2024-7-15 16:41

Obscure霧雨发表于 2024-7-10 09:05
如果恶意程序利用该方法，火绒服务在第一次被破坏的时候恶意程序基本就可以为所欲为了，而且创建的用于破坏 ...

您好，此问题目前已经提交优化，工程师正在跟进处理中，问题解决后会给您同步信息，您也可以根据ID联系我查询问题处理进展，感谢反馈，【问题ID：51878】

欢迎光临火绒安全软件 (https://bbs.huorong.cn/)