|
|
火绒对消息钩子是有防御的(它的x86 进程会加载selfprot.dll来阻止消息钩子注入)。、一开始你用x86的模块是无法注入到火绒进程中的。那为什么你换成x64的模块就可以注入到火绒进程呢(排除x64的程序不能加载x86 dll 的消息钩子。又有人来杠了?你可以自己用x86的程序成功加载x86 dll 模块的消息钩子,看看能不能注入火绒)?注意细节,你必须要运行火绒剑才能将你的x64模块注入火绒进程中。这是因为火绒剑会加载一个名为usysdiag.exe 的进程,该进程是x64的且为火绒的可信组件,但漏洞就出在这个进程没有加载selfprot.dll来阻止消息钩子注入。这个进程不像防护进程加载的usysdiag.exe是以system用户且会话为0的环境运行的,而是处于用户活动会话运行的,可以被消息钩子注入。如果攻击者在恶意程序中自动运行火绒剑或者其它可以在用户活动会话运行usysdiag.exe并注入恶意代码,就可以不受限制的操纵任何受到火绒保护的系统对象。
此外,据我所知,火绒存在像句柄泄漏等其它方面的漏洞也有不少。具体内容就不细说了。希望官方尽快修复相关漏洞
火绒自保又出漏洞!官方修复漏洞速度缓慢!!!官方给个答复!!!_哔哩哔哩_bilibili
|
|
收藏
