真的相信金山毒霸的卸载弹窗是没问题的所谓"反病毒"用的?

zhq445078388

之前用360软件管家卸载金山毒霸的时候
与在腾讯电脑管家进行卸载的样子不一样...

然后我就在想.是否真的是跟金山说的一样是反木马病毒的(防止恶意卸载)?

结论却是木马该卸载卸载.只是不让正规软件卸载了

然后把金山的uni0nst.exe拉了出来看一看

签名公司:Beijing Kingsoft Security software Co.,Ltd
签名日期:‎2014‎年‎3‎月‎12‎日 21:42:15
MD5:EDB2DD7B5536F794C349F55F7357E83D

先是搜字符串.

然后发现有unicode字符串很可疑.
分别是:

explorer.exe
rundll32.exe
dllhost.exe
svchost.exe
services.exe
wininit.exe
SoftManager.exe //360软件管家进程
QQPCSoftMgr.exe //QQ软件管理进程
softmain.exe //金山卫士软件管理进程

然后我们先定位到"QQPCSoftMgr.exe"所在的位置.
使用windbg的br命令下了读取断点

成功的断下来了.往回找找.看到关键的是在0x46249c这个地址的函数里
然后拽进ida

搜46249C
定位到sub_46249C这个函数


发现一个很可疑的函数.双击跟过去

这个函数内部很简单的判断了下是不是QQ软件管理或金山卫士软件管理的进程,如果是就返回true

如果返回true的话.那么之前的sub_46249C就会直接返回true


如果不是QQ软件管理或金山卫士软件管理的进程
那么判断是否为:
explorer.exe
如果是就返回true


判断是否为:
dllhost.exe
svchost.exe
services.exe
wininit.exe
如果是那么就返回false

其中.大家可以看到rundll32.exe,但是对其做了额外的判断.导致在一般情况下rundll32.exe会继续做判断而不是直接返回false

值得注意的是.这里的判断均基于API:PathFindFileNameW
也就是说是简单的字符串判断...
想了一下..我试试哈

把任务管理器拷贝出来.改名为QQPCSoftMgr.exe




然后再改名为dllhost.exe

再改名为SoftManager.exe
一样:


然后又看了看.发现里面还有个判断.看起来是后来加上去的
他发现是SoftManager.exe之后又判断是否rundll32.exe或explorer.exe

是就返回true.. 但是一样的.没做额外的判断.只是进程名而已

又试了几次.随便一个程序叫"rundll32.exe或者explorer.exe"或者"QQPCSoftMgr.exe"或者"softmain.exe"都可以正常的把金山毒霸的卸载程序调起来
木马作者想伪装下这几个还是很容易的..毕竟他没做什么另外的判断,但是如果是正规厂商.总不可能把自己伪装成别家产品吧.

如果是别的.那么就是会把"卸载"放在左下角.然后用黄色的窗体骂360...

这逻辑就是..
不管谁卸载我.我都骂360?

看起来SoftManager.exe的处理完全可以和其他进程一样.但是为啥不一样呢..个人认为是有别的额外操作,因为其对函数的最后一个参数进行了修改(看起来是传出给调用方?)
123456啥的.应该是某种enum的常数,我们根据流程归纳下:

--------------------
dllhost.exe
svchost.exe
services.exe
wininit.exe
这四个为0
----------------------
QQPCSoftMgr.exe为1
softmain.exe为2
explorer.exe为4
不是上面的也不是SoftManager.exe为5
有SoftManager.exe但是调用方为rundll32.exe或explorer.exe为6
有SoftManager.exe且调用方不为rundll32.exe或explorer.exe为7

差了个3...3去哪了?

既然会这么分配.那么有理由至少曾经.金山毒霸的卸载程序通过这个常数进行过判断,
根据之前的现象.应该是对360软件管家做了特例处理.比如不启动之类的(之前老有人说360卸不掉金山啊)

不过现在SoftManager是可以正常卸载金山毒霸的..可喜可贺

下面贴个卸载器里面的函数.这个函数虽然不知道是啥效果.但是是判断到SoftManager.exe后的操作(就是找系统卸载器"程序和功能""添加删除程序")

乌龟dē海盗

先支持 一下   期待 找出 3 哪去了

daojianwuhen

支持楼主的技术分析

猪头无双

呵呵，这是麒麟皮下露马脚的节奏？

jxae

金山这是要干嘛……

Arisu

哎呦，这帖子好，哈哈哈哈

skylinext

金山就这德行

牛鼻魚嘴

只想说一句：“常在河边走，哪能不湿鞋“

拉普达

说别人流氓的流盲

zmyx279323199

这耳光打的好