一种破坏火绒安全服务的方法

Obscure霧雨 · 发表于 2024-7-5 14:43:16

该方法的最终效果就是火绒界面提示修复服务，但点击后无法修复
原理很简单，介于火绒默认不拦截服务的创建，先创建一个服务(服务名称按顺序要先于HipsDaemon，例如以123456作为服务名称)，服务需要为自动启动，group为Base，这样就可以使该服务略早于火绒安全服务模块运行
创建的该服务用于运行准备好的程序，程序先运行火绒安全服务模块，占住该程序的坑位(火绒安全服务不允许多开)，等待几秒后利用火绒的一个特性(https://bbs.huorong.cn/thread-136197-1-1.html)结束安全服务模块，并创建升级程序的进程占坑位(火绒服务修复是由升级程序执行的，该操作可阻止用户修复火绒的服务)
程序源码和样品见附件

火绒运营专员 · 发表于 2024-7-5 14:45:28

好的，这边确认下~

flyratlove · 发表于 2024-7-5 15:04:57

哈哈，有一种专利申请的即视感

火绒运营专员 · 发表于 2024-7-5 15:59:41

您好，您这边使用的火绒版本是多少呢？系统信息麻烦提供下~

Obscure霧雨 · 发表于 2024-7-6 10:26:51

火绒版本：6.0.1.0
系统版本：Windows 11 专业工作站版 22H2 22621.3810

火绒运营专员 · 发表于 2024-7-6 10:29:25

Obscure霧雨发表于 2024-7-6 10:26
火绒版本：6.0.1.0
系统版本：Windows 11 专业工作站版 22H2 22621.3810

好的，我们本地确认下

Obscure霧雨 · 发表于 2024-7-6 10:36:10

Obscure霧雨发表于 2024-7-6 10:26
火绒版本：6.0.1.0
系统版本：Windows 11 专业工作站版 22H2 22621.3810

经测试Win10也行

火绒运营专员 · 发表于 2024-7-6 10:39:52

Obscure霧雨发表于 2024-7-6 10:36
经测试Win10也行

好的，我们本地先确认下，有结果给您答复。

火绒运营专员 · 发表于 2024-7-9 15:22:26

楼主您好，经确认此问题设计如此，修复的逻辑为调用升级重新启动火绒服务，此时升级被占用导致无法修复，建议您结束升级后，再次重启火绒，点击修复

Obscure霧雨 · 发表于 2024-7-10 09:00:20

升级程序的进程是在SYSTEM账户以Session 0运行的，没有交互的窗口，用户无法手动结束升级

Obscure霧雨 · 发表于 2024-7-10 09:05:44

如果恶意程序利用该方法，火绒服务在第一次被破坏的时候恶意程序基本就可以为所欲为了，而且创建的用于破坏火绒的服务是开机启动的，如果用户没有删除或禁用此服务，下一次开机火绒服务仍会是被破坏的状态

火绒运营专员 · 发表于 2024-7-10 09:24:30

Obscure霧雨发表于 2024-7-10 09:05
如果恶意程序利用该方法，火绒服务在第一次被破坏的时候恶意程序基本就可以为所欲为了，而且创建的用于破坏 ...

收到，这边再看下

火绒运营专员 · 发表于 2024-7-15 16:41:35

Obscure霧雨发表于 2024-7-10 09:05
如果恶意程序利用该方法，火绒服务在第一次被破坏的时候恶意程序基本就可以为所欲为了，而且创建的用于破坏 ...

您好，此问题目前已经提交优化，工程师正在跟进处理中，问题解决后会给您同步信息，您也可以根据ID联系我查询问题处理进展，感谢反馈，【问题ID：51878】

[产品问题] 一种破坏火绒安全服务的方法

评分