-
-
[原创]企业微信对远程控制的检测和绕过
-
发表于: 2025-10-23 17:53
-
因为“银狐”病毒的泛滥,企业微信上了检测的功能,发现远程控制会强制踢下线。一开始还挺有效的,一远控就被踢下线并且手机上有提醒,但最近发现被远程控制没有提醒的情况。
具体有两种情况,一种是还在用老版本:因为老版本可以卡bug进行群发,又快又安全。配合修改版本号就可以强制使用老版本。而老版本本身没有检测远程控制的功能,这种自然就没有提醒。奇怪的是另外一种,明明是新版本,但被远程控制就是没有提醒。
老版本的情况已经分享过文章:[原创]企业微信转发卡bug的漏洞分析和[原创]企业微信检测版本漏洞浅析。这篇文章主要分享新版本对远程控制的检测和绕过,以攻促防。
企业微信是通过配置来检测当前是否运行远程控制的软件:
检测逻辑也很简单,根据配置拿到窗口的信息进行比较:
先写一个符合配置要求的窗口:
很快就被踢下线并且提示:
知道了检测的原理,绕过就很简单了:只需要修改一下窗口样式或者窗口大小,比如远程之后手动拖动一下窗口大小就绕过了。
远程控制的检测条件比较严格,要完全匹配配置数据才算命中。这样确实能避免其他软件被错杀,但对应带来的问题就是病毒有点改动就轻松绕过了。
[ { "id": 1, "description": "xxx", "title": "", "class": xxx", "rectangle": [ { "width": 406, "height": 202 }, { "width": 24, "height": 32 } ], "style": 2483224576, "exStyle": 524424, "process": "xxx.exe" }, ...][ { "id": 1, "description": "xxx", "title": "", "class": xxx", "rectangle": [ { "width": 406, "height": 202 }, { "width": 24, "height": 32 } ], "style": 2483224576, "exStyle": 524424, "process": "xxx.exe" }, ...]1、按class和title找到窗口句柄hwnd = FindWindowExA(0, 0, class, title);2、获取窗口的普通样式style = GetWindowLongW(hwnd, GWL_STYLE)if (wndcfg->style == style) ...3、获取窗口的扩展样式exStyle = GetWindowLongW(hwnd, GWL_EXSTYLE)if (wndcfg->exStyle == exStyle) ...4、获取窗口的矩形坐标GetWindowRect(hWnd, &Rect);width = Rect.right - Rect.left;height = Rect.bottom - Rect.top;...5、获取窗口的进程名字GetWindowThreadProcessId(hwnd, &pid);GetProcessNameByPId(&sProcessName, pid);if (wndcfg->process == sProcessName) ...1、按class和title找到窗口句柄hwnd = FindWindowExA(0, 0, class, title);
|
|
|---|---|
|
|
|
|
|
扫码算是授权,毕竟确实有正常远程控制的需求。 |
|
|
|
|
|
|
|
|
 
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
