本帖最后由 弧光 于 2013-4-3 17:46 编辑
这个版块好像不能发视频?把优酷视频贴出来了。http://v.youku.com/v_show/id_XNTM2OTUxNzc2.html
视频上传后模糊了。没有高清视频。不是很影响。教的不是方法而是提示金山修补漏洞。联系慕容请加群:77562914
大家好,今天发的这视频是关于金山自我保护的一个测试视频,这个漏洞是昨天在跟群友交流时无意间发现的,
具体表现为在系统刚启动不久时,金山的自保护模块还没加载完成,在这个时候假如触发一段恶意代码,便可以对金山进行破坏,当然这个恶意程序的前提是执行必须比金山的自保护模块加载得还要快,所以这里用某种比较猥琐的方法绕过金山添加服务项以达到我们想要的目的.(这个方法不会在视频中公布的,呃..)
首先要声明下,我不是专门为了黑金山才发这视频了,我的右下角已经摆明了我的立场,俺不属于任何杀毒阵营的.
众所周知,杀毒软件在虚拟机中启动的速度比在实机中启动的速度还要慢.(随windows启动),所以为了确认这个漏洞,我之前特地在实机进行了一次验证,结果是在虚拟机可以用普通的启动项来执行破坏代码,而在实机中因为启动速度的关系必须用系统服务来启动才能超过毒霸.
这里是为了方便视频录制才在虚拟机里测试的,大家不用怀疑漏洞的真实性.
OK,正文开始!
首先让咱们来见识下大名鼎鼎的猴哥
这个是我之前测试时创建的服务项,可以看到猴哥没有对它进行拦截~
防御已经开启.
我们可以看到在猴哥的神威之下,任何想要染指它花果山中摆设的行为都会被拒绝
现在咱们传个小马来看下猴哥是否还醒着
之所以用网盘当媒介..这是因为...上传我不小心把VMTOOLS搞坏了...呃..
咱们可以看到猴哥依然坚挺,他把要抢东西的坏蛋咔嚓了
接下来有请咱们的白骨精出场
我们可以看到涉世未深的猴哥一看到白骨精打这个要fuck他的牌子后就挡不住诱惑了,现在来进行咱们的进一步攻势~~
猴哥很享受~是滴~他沉迷了~他陶醉了~他没任何提示了~~~白骨精成功绕过了.
接下来咱们来重启下虚拟机.
我们可以看到猴哥洞里的每件东西都被打上了被fuck的标记~它的查杀功能也被咔嚓掉了.
来试试还能不能防御.
咦? 猴哥?睡了? 猴哥你醒醒...猴哥....你别吓我啊猴哥~~~
OK 蜘蛛精也沾着白骨精的光进来了~
由于这个漏洞是偶然发现,还没来得及仔细地研究,不过之前测试360时虽然能绕过360但是却无法对其以同样的方法进行破坏,猜想可能是猴哥的自保护模块加载顺序放在后面了或者没用服务加载吧?
希望花果山的各位程序猿们早日改进这个漏洞
注:附件上的测试跟视频里的不一样,修改了服务注册方式,可能无法绕过,手动放行便可,这不是这个漏洞的重点
恶意代码实现过程:恶意程序免杀→添加服务项→重启电脑→更改猴哥花果山中的文件名→猴哥启动→猴哥阳痿
2013年4月2日 22:32:52
联系慕容请加群:77562914
fuckkingsoft.exe
墨雪 moxer |
发表于 2013-4-3 13:06:53
楼主
需要插件 看不了 表示安装插件很蛋疼 静待解答
