火绒安全软件

登录| 注册
火绒安全软件»论坛 火绒产品 火绒安全软件6.0 to desk 本地创建疑似后门端口,上传服务器隐私? ...
火绒安全软件6.0
发新帖
打印 上一主题 下一主题

to desk 本地创建疑似后门端口,上传服务器隐私?

[复制链接]
3545 15
楼主
发表于 2024-11-25 16:21:04 | 只看该作者 |只看大图 |倒序浏览 |阅读模式
跳转到指定楼层
本帖最后由 lkj00 于 2024-11-25 16:23 编辑


通过拦截后并不影响使用,既然不影响使用为什么注册表注册 这样端口并且开发?
而且通过日志分析得到  这个动作是间歇性的 隔一段时间就会注册这个端口, 和病毒间谍软件行为 间歇性发作类似
怀疑应该服务器自动远程过来 或者利用此端口上传某些数据到服务器
分析看是否具有隐私危害性

本主题由 火绒运营专员 于 2024-11-25 16:34 移动
回复

使用道具 举报

3545 15
沙发
发表于 2024-11-25 16:26:37 | 只看该作者
您好,您是希望我们核实下Todesk是否有该行为吗?
回复

使用道具 举报

3545 15
板凳
发表于 2024-11-26 14:08:37 | 只看该作者
您好,您是希望我们核实下Todesk是否有该行为吗?方便提供下Todesk版本、系统版本以及事件日志吗?
回复

使用道具 举报

3545 15
地板
发表于 2024-11-28 09:14:45 | 只看该作者
本帖最后由 lkj00 于 2024-11-28 10:10 编辑
火绒运营专员 发表于 2024-11-26 14:08
您好,您是希望我们核实下Todesk是否有该行为吗?方便提供下Todesk版本、系统版本以及事件日志吗? ...

对啊  版本  4.7.4.3   日志上传 1.rar (1.73 MB, 下载次数: 6106)
回复

使用道具 举报

3545 15
5#
发表于 2024-11-28 09:19:26 | 只看该作者
lkj00 发表于 2024-11-28 09:14
对啊  版本  4.7.4.3   日志上传

您好,麻烦您这边上传下系统版本和事件日志呢~
回复

使用道具 举报

3545 15
6#
发表于 2024-11-28 10:10:51 | 只看该作者
火绒运营专员 发表于 2024-11-28 09:19
您好,麻烦您这边上传下系统版本和事件日志呢~

已经传了
回复

使用道具 举报

3545 15
7#
发表于 2024-11-28 10:16:00 | 只看该作者
lkj00 发表于 2024-11-28 10:10
已经传了

好的,我们确认下
回复

使用道具 举报

3545 15
8#
发表于 2024-11-28 10:38:07 | 只看该作者
楼主您好,麻烦您导出自定义规则上传至论坛,提供一下C:\ProgramData\Huorong\Sysdiag(需要显示隐藏文件或者直接复制路径即可)log.db、log.db-shm、log.db-wal这三个文件,还有您的电脑系统版本是多少?您提到的这个动作是间歇性的 隔一段时间就会注册这个端口,这期间您有操作todesk吗?
回复

使用道具 举报

3545 15
9#
发表于 2024-11-28 10:55:45 | 只看该作者
35600端口,是ToDesk监听的。
https://blog.csdn.net/SL003/article/details/141950344

你要搞明白这个端口是干啥的,直接去问ToDesk客服是不是更好。
回复

使用道具 举报

3545 15
10#
发表于 2024-11-30 17:12:07 | 只看该作者
楼主您好,麻烦您导出自定义规则上传至论坛,提供一下C:\ProgramData\Huorong\Sysdiag(需要显示隐藏文件或者直接复制路径即可)log.db、log.db-shm、log.db-wal这三个文件,还有您的电脑系统版本是多少?您提到的这个动作是间歇性的 隔一段时间就会注册这个端口,这期间您有操作todesk吗?
回复

使用道具 举报

3545 15
11#
发表于 2024-12-2 11:03:15 | 只看该作者
本帖最后由 lkj00 于 2024-12-2 11:07 编辑
火绒运营专员 发表于 2024-11-30 17:12
楼主您好,麻烦您导出自定义规则上传至论坛,提供一下C:\ProgramData\Huorong\Sysdiag(需要显示隐藏文件或 ...

......导出日志后,日志清空了不知道是否需要上传? log.rar (411.09 KB, 下载次数: 5302) 规则.rar (906 Bytes, 下载次数: 5073)
windwos10  22H2   有操作也会注册 没有操作也会注册 而且今天发现你们自定义逻辑bug或者被绕过



我明明已经设置阻止注册表写入  居然通过 读取 桌面ini文件 达到写入注册表动作? 请问火热自定义是否存在拦截漏洞?

因为双休其他同事不知道 点 自动放行 ,但是我认为 既然设置了规则阻止注册表写入 而软件只是 读取ini 一个文件为什么  方向 读取 ini文件 居然可以注册表写东西?
回复

使用道具 举报

3545 15
12#
发表于 2024-12-2 11:05:33 | 只看该作者
lkj00 发表于 2024-12-2 11:03
......导出日志后,日志清空了不知道是否需要上传?

收到,这边先查看下~
回复

使用道具 举报

3545 15
13#
发表于 2024-12-5 08:53:12 | 只看该作者
火绒运营专员 发表于 2024-12-2 11:05
收到,这边先查看下~

进一步观察发现 有一点越界行为,不是网上说 监听端口, 可以通过此端口通过远端下发操作 或者怀疑直接可以后台反向远程操作不需要用户同意 很吓人 居然通过云端直接下发一些操作 后门无疑了
证件一 通过 35600 端口 居然尝试修改注册表登录数据?目的干啥子?

修改 特定用户windows 登录注销的注册表,创建特定值 (ai搜索了这个值不在微软官方公布注册表里面 属于特定私自值具体干啥不清楚)

证据二 :服务直接修改 注册表的权限和值 而且用户修改了此权限 利马改回来了?这种行为病毒一样了

你们可以本地测试下
回复

使用道具 举报

3545 15
14#
发表于 2024-12-5 09:09:11 | 只看该作者
lkj00 发表于 2024-12-5 08:53
进一步观察发现 有一点越界行为,不是网上说 监听端口, 可以通过此端口通过远端下发操作 或者怀疑直接可 ...

好的,这边再确认下~
回复

使用道具 举报

3545 15
15#
发表于 2024-12-5 11:16:34 | 只看该作者
等后续结果
回复

使用道具 举报

下一页 »
12下一页
返回列表
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | [立即注册]

本版积分规则

版权所有©2011-2025北京火绒网络科技有限公司 All Rights Reserved

官方网站 | 加入我们 | 站点统计

快速回复 返回顶部 返回列表