收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 国内杀毒软件 火绒 6.0.9.0版本升级公告【1月27日转载】
12345下一页
返回列表 发新帖
楼主: 游戏模式
 收起左侧

[分享] 6.0.9.0版本升级公告【1月27日转载】

  [复制链接]
afen
发表于 2026-3-11 11:20:55 | 显示全部楼层
火绒工程师 发表于 2026-3-11 10:56
感谢您的关注,后续我们会持续关注,如果有异常会进行优化哦~

谢谢
回复

举报

火绒工程师
发表于 2026-3-11 14:15:52 | 显示全部楼层
afen 发表于 2026-3-11 11:20
谢谢

您客气了,后续有问题可以随时联系我们!
回复

举报

YorkWaugh
发表于 2026-3-11 14:30:30 | 显示全部楼层
火绒工程师 发表于 2026-3-11 14:15
您客气了,后续有问题可以随时联系我们!



https://cdn.iobit.com/dl/unlocker-setup.exe
方便帮忙看一下吗

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

火绒工程师
发表于 2026-3-11 15:40:14 | 显示全部楼层
YorkWaugh 发表于 2026-3-11 14:30
https://cdn.iobit.com/dl/unlocker-setup.exe
方便帮忙看一下吗

您好,麻烦您提供一下该驱动,我们确认一下是否是误报
回复

举报

YorkWaugh
发表于 2026-3-11 15:41:51 | 显示全部楼层
火绒工程师 发表于 2026-3-11 15:40
您好,麻烦您提供一下该驱动,我们确认一下是否是误报


麻烦了

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

火绒工程师
发表于 2026-3-11 15:44:01 | 显示全部楼层
YorkWaugh 发表于 2026-3-11 15:41
麻烦了

这边确认一下,有结果后同步您~
回复

举报

wwwab
发表于 2026-3-11 17:18:33 | 显示全部楼层
YorkWaugh 发表于 2026-3-11 14:30
https://cdn.iobit.com/dl/unlocker-setup.exe
方便帮忙看一下吗

@wowocock 肉鸡哥看更快
回复

举报

wwwab
发表于 2026-3-11 18:40:22 | 显示全部楼层
本帖最后由 wwwab 于 2026-3-11 18:47 编辑
YorkWaugh 发表于 2026-3-11 15:41
麻烦了

IObit 在 2020 年的驱动有 CVE-2020-14974 & CVE-2020-14975 漏洞 允许低权限用户解锁文件;杀死持有进程句柄的进程;删除、移动或复制系统上的任何文件:
https://theevilbit.github.io/posts/iobit_unlocker_lpe/
https://github.com/theevilbit/ex ... ocker/UnlockExploit


然后你传的这份 2022 年的驱动我看了一下,这个问题修了。
执行 IOCTL 之前会先走 sub_13CB0 判断,sub_13CB0 通过 ZwQueryInformationProcess 取当前调用进程的镜像路径,直接把发起 DeviceIoControl 的 EXE 文件读出来,再在 sub_13AF0 里算两组校验值。只有当结果恰好等于 43 和 11044471 时才继续执行。


主要流程如下:
1.
获取当前进程的映像路径:
分配内存缓冲区,并通过内核函数获取当前进程的句柄和映像路径信息(具体路径获取在未显示的 sub_13A14 函数中完成)。
2.
构造文件路径字符串:
将获取的路径信息格式化为 UNICODE_STRING 结构,用于后续文件操作。
3.
计算文件校验和:
调用子函数 sub_13AF0,根据路径打开文件,读取全部内容(文件大小限制为 3MB 以内),并计算两个校验值:
异或和:遍历文件每个字节,依次进行异或(XOR)操作。
交错和:遍历文件每个字节,按字节索引的奇偶性交替进行加法和减法操作。
这两个结果分别输出到变量 v8 和 v9。
4.
校验与返回:
释放内存后,比较 v8和 v9是否等于硬编码值 43 和 11044471。
如果匹配,函数返回 0(STATUS_SUCCESS),表示验证通过;否则返回 0xC0000001(STATUS_UNSUCCESSFUL),表示验证失败。


测试了一下2020年那个Poc,对这版驱动没效果:






不清楚是否还有其他漏洞。
https://www.virustotal.com/gui/f ... 9feb74f0c/detection
看到 VirusTotal 上还是有 3 家厂商在报。
可能是对 IObitUnlocker 的驱动全部入库查杀处理了(因为涉及到的漏洞驱动 版本可能也比较多),可能就统统一起查杀掉了。

不过,确实有勒索应该是打开 IObitUnlocker 图形界面操作的结束杀毒软件: https://www.acronis.com/en/tru/p ... -indian-businesses/,关联到了这版驱动文件,不过这个应该是打开图形界面操作的估计是。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1人气 +3 收起 理由
YorkWaugh + 3 感谢解答: )

查看全部评分

回复

举报

YorkWaugh
发表于 2026-3-11 18:53:49 | 显示全部楼层
wwwab 发表于 2026-3-11 18:40
IObit 在 2020 年的驱动有 CVE-2020-14974 & CVE-2020-14975 漏洞 允许低权限用户解锁文件;杀死持有进程 ...

emmmm,之前一直不报,今天突然开始报漏洞的,我搜了一圈没看到有啥新的漏洞报告,只能发来了
回复

举报

火绒工程师
发表于 2026-3-12 09:35:37 | 显示全部楼层
YorkWaugh 发表于 2026-3-11 15:41
麻烦了

您好~经确认,非误报,该驱动可被恶意利用
如果您要使用,可在漏洞驱动拦截----设置添加例外驱动,如果依然无法正常启动,可以尝试将火绒退出并重新加载该驱动

评分

参与人数 1人气 +3 收起 理由
YorkWaugh + 3 感谢解答: )

查看全部评分

回复

举报

下一页 »
12345下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2026-4-13 04:32 , Processed in 0.085374 second(s), 4 queries , Redis On.

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表