仿冒火绒1x vt首发3/69

wowocock

wwwab 发表于 2025-10-30 20:34
一阻止就换一个驱动加载，还不忘了把驱动删掉

新漏洞驱动:  @wowocock

看起来像是费尔的驱动利用。

ulyanov2233

wowocock 发表于 2025-10-31 10:11
虽然被漏掉的漏洞驱动干掉了，不过好歹也在之前带走了木马启动项，也算是同归于尽了。

【2】2025-10-3 ...

肉鸡哥能不能找同事去投诉一下这两个仿冒站点，也太恶心人了，安装这东西的一般是没杀软的客户hxxps://www.huorongcn.com/ hxxps://www.huorongpc.com/

wowocock

ulyanov2233 发表于 2025-10-31 10:23
肉鸡哥能不能找同事去投诉一下这两个仿冒站点，也太恶心人了，安装这东西的一般是没杀软的客户hxxps://ww ...

已经让相关同事去交涉了，不过这种只能看别人脸色。

ulyanov2233

wowocock 发表于 2025-10-31 10:25
已经让相关同事去交涉了，不过这种只能看别人脸色。

这个域名服务商反正不理我们个人的abuse complaint，不知道企业的过去会不会理

莒县小哥

wowocock

wwwab 发表于 2025-10-30 20:34
一阻止就换一个驱动加载，还不忘了把驱动删掉

新漏洞驱动:  @wowocock

在费尔这个漏洞驱动 filnk.sys中杀掉进程的
__int64 __fastcall filnk_324(void *a1, __int64 a2)
{
  struct _CLIENT_ID ClientId; // [rsp+20h] [rbp-58h] BYREF
  void *ProcessHandle; // [rsp+30h] [rbp-48h] BYREF
  struct _OBJECT_ATTRIBUTES ObjectAttributes; // [rsp+38h] [rbp-40h] BYREF
  unsigned int v6; // [rsp+68h] [rbp-10h]
  NTSTATUS ExitStatus; // [rsp+88h] [rbp+10h]

  ExitStatus = a2;
  if ( !a1 )
    return 3221225485i64;
  ClientId.UniqueProcess = a1;
  ClientId.UniqueThread = 0i64;
  ObjectAttributes.Length = 48;
  ObjectAttributes.RootDirectory = 0i64;
  ObjectAttributes.Attributes = 512;
  ObjectAttributes.ObjectName = 0i64;
  ObjectAttributes.SecurityDescriptor = 0i64;
  ObjectAttributes.SecurityQualityOfService = 0i64;
  if ( (unsigned int)filnk_203(a1, a2) <= 0x1F4 )
    ObjectAttributes.Attributes &= ~0x200u;
  v6 = ZwOpenProcess(&ProcessHandle, 0x1F0601u, &ObjectAttributes, &ClientId);
  if ( (v6 & 0x80000000) != 0 )
    return v6;
  if ( (unsigned __int8)sub_A1850(ProcessHandle) )
    sub_A18C0(ProcessHandle, 0i64);
  v6 = ZwTerminateProcess(ProcessHandle, ExitStatus);
  ZwClose(ProcessHandle);
  return v6;
}

wwwab

wowocock 发表于 2025-10-31 10:36
在费尔这个漏洞驱动 filnk.sys中杀掉进程的
__int64 __fastcall filnk_324(void *a1, __int64 a2)
{

他怎么还加载另外两个驱动

wowocock

wwwab 发表于 2025-10-31 10:52
他怎么还加载另外两个驱动

fildds.sys是主驱动，其导入了filnk.sys,filwfp，后2者导出了功能被主驱动调用，但不能直接调用，需要通过主驱动来调用（类似EXE和DLL的关系），那个WFP不说也知道就是个防火墙，当然规则可以自己设定，想拦截谁联网，就拦截谁联网。

fengyu0126

ulyanov2233 发表于 2025-10-31 10:23
肉鸡哥能不能找同事去投诉一下这两个仿冒站点，也太恶心人了，安装这东西的一般是没杀软的客户hxxps://ww ...

这个也是www.huoronga[.]com

tdsskiller

wowocock 发表于 2025-10-31 11:11
fildds.sys是主驱动，其导入了filnk.sys,filwfp，后2者导出了功能被主驱动调用，但不能直接调用，需要通 ...

开始糟蹋以前的老驱动了