预装恶意软件-火绒安全软件个人版针对恶意修改系统文件权限行为防护的漏洞
2023-02-18 16:47:36 时间
众所周知,系统为了防止胡乱对系统文件进行改动预装恶意软件,对不同的组或用户名对系统文件的权限进行了限制。
将所有系统文件的所有者都设置为NT \,并默认仅允许对系统文件读取和读取和执行,而没有允许完全控制、修改、写入和特殊权限。
有时,恶意程序为了更改系统文件,会先重新设置系统文件的权限。
360安全卫士在遇到这种情况,会弹出一个黄色的提示窗口,警告可能会有风险发生。然而,火绒安全软件个人版似乎对此风险行为的拦截存在漏洞。
为了简单地测试,我们使用一段简短的批处理脚本,模拟一个恶意程序试图修改C:\\cmd.exe的权限,以便之后对它进行某种更改。
@echo off
takeown /A /F C:\Windows\System32\cmd.exe
icacls C:\Windows\System32\cmd.exe /grant Administrators:F
echo 篡改权限完毕。
pause >nul
exit
使用管理员身份执行此批处理脚本。该脚本先更改了C:\\cmd.exe的所有者,以便之后可以对其权限进行编辑,获取更多的控制权限。之后,再赋予了管理员组对cmd.exe所有的权限。
执行后,火绒没有任何提示或反应,日志内也无任何记录。然而,我们在测试时却已开启了下图中高亮表示出的火绒自带系统加固 文件防护规则预装恶意软件,以及其它可能相关的规则。
很明显,这是火绒的一个疏漏。
目前,该问题已被反馈在火绒安全论坛上上。并且,之后,官方似乎也意识到了这个问题,对该漏洞设置了Bug ID 38826。
幸运的是,在官方将此漏洞修复前,我们并非束手无策。通过在火绒自定义规则中导入一个自定义规则,我们将能够阻止部分类似行为,但仅限于来自命令行的权限篡改行为。
本文共 507 个字数,平均阅读时长 ≈ 2分钟
相关文章
- 带你掌握java反序列化漏洞及其检测
- 这几种Java异常处理方法,你会吗?
- 教你用Java7的Fork/Join框架开发高并发程序
- Java变异出现错误:No enclosing instance of type XXX is accessible
- LeetCode - #70 爬楼梯(Top 100)
- LeetCode - #71 简化路径
- LeetCode - #72 编辑距离(Top 100)
- LeetCode - #73 矩阵置零
- LeetCode - #74 搜索二维矩阵
- [Maven进阶]聚合和继承
- Ichunqiu云境 - Delegation Writeup
- 在搭载 M1 及 M2 芯片 MacBook 设备上玩 Stable Diffusion 模型
- 在 Ubuntu 上安装 Discourse 开发环境
- 用户重复注册分析-多线程事务中加锁引发的bug
- 基于51单片机的简易抢答器
- 设计分享|74HC154译码器实现流水灯
- adobe photoshop软件2023最新版下载安装
- Photoshop2023最新完美版一键式安装教程
- DaVinci Resolve2023永久免费版下载安装教程
- 3dmax软件2023最新免费版下载