-
-
[原创]V信KernelUtil.dll劫持Dll缺陷
-
发表于:
2021-12-24 17:42
17253
-
[原创]V信KernelUtil.dll劫持Dll缺陷
V信最新64位版本(其实很久前就已经有了)存在KernelUtil.dll加载Dll劫持漏洞,该Dll本不存在安装包中,黑产可能会利用此漏洞dll劫持产品启动过程,进而执行恶意代码。
然而V信的扫码登录进程是以管理员权限开机自启动的,很多人都不会选择关掉这个自启动项。相信杀软也不敢拦截这款聊天软件的组件。
其实在TM的安装文件夹下是存在KernelUtil.dll这么个东西的,V信的安装目录不存在该Dll,但是扫码登录进程运行的时候会去加载这个不该存在的Dll。
在Process Monitor中可以看到如下图所示。
随意建立一个Dll项目写上一个加载验证的代码,编译出DLL,拷贝到软件的安装目录下,重启软件即可验证缺陷。
#include "pch.h"
#include <stdlib.h>
BOOL APIENTRY DllMain( HMODULE hModule,
DWORD ul_reason_for_call,
LPVOID lpReserved
)
{
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
最后于 2021-12-24 17:48
被绝望的皮卡丘编辑
,原因: 修改