转一个火绒区的文件，昨天官方刚发布声明，不知道和这个有没有关系

显示全部楼层 · 发表于 2024-10-30 19:12:32

昨天官方刚发布声明，不知道和这个有没有关系情况说明 | 非官方火绒剑存在后门风险，请用户谨慎下载... - 火绒安全播报 - 火绒安全软件

分享文件 -可疑文件

显示全部楼层 · 发表于 2024-10-30 19:24:04

本帖最后由玛姆库特于 2024-10-30 19:30 编辑

ESET扫描miss

火绒扫描miss

显示全部楼层 · 发表于 2024-10-30 19:58:17

360扫描miss

显示全部楼层 · 发表于 2024-10-30 20:00:50

金山毒霸扫描miss

显示全部楼层 · 发表于 2024-10-30 20:49:20

ksn全信任了，驱动也是火绒的驱动

显示全部楼层 · 发表于 2024-10-30 22:40:09

@wowocock

显示全部楼层 · 发表于 2024-10-31 09:23:17

本帖最后由莫求于 2024-10-31 09:24 编辑

https://www.virustotal.com/gui/f ... b41638109031eab6095
火绒说的是这个uactmon.dll

显示全部楼层 · 发表于 2024-10-31 10:09:56

tdsskiller 发表于 2024-10-30 22:40
@wowocock

典型的导入表白利用而已，那么多年了，还存在这种导入表劫持漏洞，说明他们对这方面不重视，360在十多年前已经禁止导入表加载，同时所有动态加载DLL均要通过签名认证，360自己的DLL都有专门的内部签名。他这个HRSword.exe，存在多个可被利用的地方，selfprot.dll，usysdiag.dll，daemon.dll，uactmon.dll
任意一个均可被劫持利用。
，
，

显示全部楼层 · 发表于 2024-10-31 10:18:31

玛姆库特发表于 2024-10-30 19:24
ESET扫描miss
火绒扫描miss

楼主发的这个uactmon.dll有签名是官方的，不过这个文件同样存在漏洞，会导入libxsse.dll
，这个DLL同样可以被劫持，生成二级导入劫持，更加隐蔽。
idata:1004E2EC ; Imports from libxsse.dll
.idata:1004E2EC ;
.idata:1004E2EC                extrn libxsse_10:dword  ; CODE XREF: .text:10006046↑p
.idata:1004E2EC                                        ; sub_10006540+2A↑p
.idata:1004E2EC                                        ; DATA XREF: ...
.idata:1004E2EC                                        ; Import by ordinal 10
.idata:1004E2F0                extrn libxsse_11:dword  ; DATA XREF: .text:1000CB32↑r
.idata:1004E2F0                                        ; Import by ordinal 11
.idata:1004E2F4

显示全部楼层 · 发表于 2024-10-31 10:23:14

你看一下火绒的报告吧，你发的文件uactmon.dll是有签名的，报告说有问题的文件是无签名的

[误报文件] 转一个火绒区的文件，昨天官方刚发布声明，不知道和这个有没有关系

本帖子中包含更多资源

本帖子中包含更多资源