首页
社区
课程
招聘
[原创]V信KernelUtil.dll劫持Dll缺陷
发表于: 2021-12-24 17:42 17254

[原创]V信KernelUtil.dll劫持Dll缺陷

2021-12-24 17:42
17254

V信最新64位版本(其实很久前就已经有了)存在KernelUtil.dll加载Dll劫持漏洞,该Dll本不存在安装包中,黑产可能会利用此漏洞dll劫持产品启动过程,进而执行恶意代码。


然而V信的扫码登录进程是以管理员权限开机自启动的,很多人都不会选择关掉这个自启动项。相信杀软也不敢拦截这款聊天软件的组件。


其实在TM的安装文件夹下是存在KernelUtil.dll这么个东西的,V信的安装目录不存在该Dll,但是扫码登录进程运行的时候会去加载这个不该存在的Dll。

在Process Monitor中可以看到如下图所示。


随意建立一个Dll项目写上一个加载验证的代码,编译出DLL,拷贝到软件的安装目录下,重启软件即可验证缺陷。

#include "pch.h"

#include <stdlib.h>

 

BOOL APIENTRY DllMain( HMODULE hModule,

                       DWORD  ul_reason_for_call,

                       LPVOID lpReserved

                     )

{


[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

最后于 2021-12-24 17:48 被绝望的皮卡丘编辑 ,原因: 修改
收藏
免费 4
支持
分享
最新回复 (4)
雪    币: 239
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
2
2021-12-24 18:00
0
雪    币: 1556
活跃值: (2297)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
内容无关,最后这个叼图到底是从哪传出来的
2021-12-24 18:44
1
雪    币: 622
活跃值: (1231)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
4
微信表情包抠出来的
2021-12-27 09:11
0
雪    币: 622
活跃值: (1231)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
5
killleer 内容无关,最后这个叼图到底是从哪传出来的[em_86]
微信表情包抠出来的
2021-12-27 09:23
0
游客
登录 | 注册 方可回帖
返回
//