[原创]BD杀毒新版评测-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]BD杀毒新版评测

发表于: 2013-6-3 23:11 16564

[原创]BD杀毒新版评测

tishion

2013-6-3 23:11

16564

今天才看到BD杀毒软件发布了一个新版本，于是就想看看上个版本发现的一些脆弱性BUG有没有得到修复

已知上个版本的两个BUG。

1.CreateProcess对参数lpCmdLine中的程序路径没有使用双引号阻止隔断，导致可在BD杀毒软件的安装分区根目录下放置一个Program.exe命名的任意文件就可以废掉BaidusdSvc和Baidusd两个程序。

2.升级模块存在Dll劫持漏洞，原因是升级过程中去加载了一个updlog.dll，但是这个文件不存在。

刚才安装了最新版本，测试发现
1问题已经彻底修改，没有再出现空格截断这个问题。

2问题用ApiMonitor跑了几圈，发现已经不会去加载这个DLL了，剩余几个不存在的DLL都是在安装目录下，因为有文件系统保护，所以已经不存在劫持了。

本以为十分完美了，然后又尝试了一下结束BD杀毒相关进程的代码，直接结束还是权限不够。
然后就祭出白加黑，用xx电脑管家的Dll劫持漏洞，去取得高级进程权限，然后尝试干掉BD杀毒进程，然后，然后就成功了。。。。

伪造个模块，代码如下，具体哪个模块不便公开。

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

image003.png （21.63kb，207次下载）
image006.png （13.97kb，3次下载）
image007.png （19.98kb，3次下载）

收藏・5

免费・5

支持

最新回复 (21)
tedrick 雪币： 298 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 237 粉丝 0 关注私信	tedrick 2 楼沙发，看标题以为是bitdefender~哈。 2013-6-4 08:22 0
ycmint 雪币： 1149 活跃值： (1033) 能力值： ( LV13，RANK：260 ) 在线值：发帖 28 回帖 894 粉丝 12 关注私信	ycmint 5 3 楼 ...................... 2013-6-4 09:01 0
bakurise 雪币： 98 活跃值： (119) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 196 粉丝 0 关注私信	bakurise 4 楼求细胞层测评分析报告！ 2013-6-4 11:01 0
莫灰灰雪币： 2529 活跃值： (2480) 能力值： (RANK：400 ) 在线值：发帖 22 回帖 715 粉丝 51 关注私信	莫灰灰 9 5 楼百度杀毒刚出来，有不足之处在所难免，和谐讨论才是王道~~ 2013-6-4 11:06 0
SinCoder 雪币： 11 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 96 粉丝 0 关注私信	SinCoder 6 楼来个溢出 ~~~ 2013-6-4 12:16 0
wogao 雪币： 4425 活跃值： (3587) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 76 粉丝 1 关注私信	wogao 7 楼最后一句诙谐幽默 2013-6-4 14:01 0
tishion 雪币： 496 活跃值： (311) 能力值： ( LV13，RANK：400 ) 在线值：发帖 20 回帖 319 粉丝 11 关注私信	tishion 9 8 楼擦，你想多了，我只是表述一下各个厂商对产品行为的细节策略而已。彻底关闭所有保护也是无可厚非的，只不过是自我保护的界定范围不同而已。 2013-6-4 14:10 0
dahwa 雪币： 114 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 70 粉丝 0 关注私信	dahwa 9 楼作为一款不是十分成熟的产品急于推出，从使用者角度讲：用户体验差，不顾及用户感受，是对用户的不尊重。如果单纯是一款简单的应用，这还算不上什么。但是百度推出的是杀毒产品，是一款安全软件，如果用户轻信安装了你的产品，导致用户利益受损，这将不仅仅是道德层面的问题，甚至可能上升到法律层面；从公司角度来讲，市场上同类产品已经相对饱和且较为成熟，用户粘合度也高，这时作为知名it企业急忙忙推出这样一款不成熟的产品不仅达不到抢占市场，扩大品牌影响力的目的，甚至适得其反，使人们对百度品牌的心理预期又下一个台阶。纵观百度近些年的所谓“战略”实在是稀里糊涂，而其内部却疯狂鼓吹“Robin”的英明神武高瞻远瞩····作为最不能缺乏忧患意识和创新精神的互联网行业，百度的企业文化和产品表现真的是让人唏嘘不已····说这么多不会被当360的枪手吧？声明：我已不用360好多年···· 2013-6-4 15:46 0
xouou 雪币： 90 活跃值： (91) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 1075 粉丝 1 关注私信	xouou 10 楼虽然经常用百度搜索,但是经常搜出来莫名其妙的企业级广告,反观google,专业就是专业.. 问题是google经常打不开,太md和谐了 2013-6-4 17:47 0
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 11 楼输入https:\\8e0K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3N6G2L8$3N6D9k6g2)9J5k6h3y4G2L8b7`.`. 任何时候任何内容都能轻松搜索 2013-6-4 17:52 0
tishion 雪币： 496 活跃值： (311) 能力值： ( LV13，RANK：400 ) 在线值：发帖 20 回帖 319 粉丝 11 关注私信	tishion 9 12 楼 - - 大家不要再把讨论偏离了技术吧。。。我这只是简单的做了下BUG验证，没想到这篇文章会被推荐，也引起大家的诸多对于厂家的讨论。可以看到厂家还是很积极，及时，努力的在修正错误，这点是值得肯定的。嗯不要歪楼了。。 2013-6-4 19:41 0
elianmeng 雪币： 967 活跃值： (1138) 能力值： ( LV6，RANK：90 ) 在线值：发帖 68 回帖 707 粉丝 4 关注私信	elianmeng 1 13 楼太牛逼了你怎么知道的？你给我签个名吧 2013-6-4 19:53 0
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 14 楼额…… 这个不是大家都知道麽？ 2013-6-4 20:18 0
dayang 雪币： 220 活跃值： (886) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 942 粉丝 1 关注私信	dayang 15 楼 https:\\906K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3N6G2L8$3N6D9k6g2)9J5k6h3y4G2L8b7`.`. 我这已经没效果了，自动转到6f6K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3N6G2L8$3N6D9k6g2)9J5k6h3y4G2L8g2)9J5k6h3S2C8i4K6u0r3i4@1f1@1i4@1u0m8i4K6R3$3i4@1g2r3i4@1u0o6i4K6S2o6i4@1f1^5i4K6S2p5i4K6R3&6 2013-6-5 11:44 0
elianmeng 雪币： 967 活跃值： (1138) 能力值： ( LV6，RANK：90 ) 在线值：发帖 68 回帖 707 粉丝 4 关注私信	elianmeng 1 16 楼用这个 92aK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2Y4L8$3!0Y4L8r3g2Q4x3X3g2U0L8$3@1`. 2013-6-5 11:45 0
tihty 雪币： 27 活跃值： (127) 能力值： ( LV8，RANK：120 ) 在线值：发帖 29 回帖 1095 粉丝 3 关注私信	tihty 2 17 楼原来是百度杀毒.. 2013-6-5 22:11 0
ingvar 雪币： 95 活跃值： (85) 能力值： ( LV5，RANK：60 ) 在线值：发帖 10 回帖 109 粉丝 0 关注私信	ingvar 18 楼 BD难道不是BitDefender吗？ 2013-6-6 11:04 0
saga 雪币： 224 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 10 回帖 120 粉丝 0 关注私信	saga 2 19 楼呵呵以为是BidDefender的路过顶楼主分享精神 2013-6-6 11:50 0
renkic 雪币： 257 活跃值： (41) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 7 粉丝 0 关注私信	renkic 20 楼做还不做好点，作出个烂东西 2013-6-6 22:25 0
mscto 雪币： 162 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 18 粉丝 0 关注私信	mscto 21 楼这个问题新版本已经修复过了，请楼主到c63K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4y4Z5j5h3c8#2i4K6u0W2j5X3q4A6k6s2g2Q4x3X3g2U0L8$3#2Q4c8e0c8Q4b7U0S2Q4z5p5u0Q4c8e0S2Q4b7V1c8Q4b7V1c8Q4c8e0k6Q4z5e0k6Q4b7U0m8Q4c8e0N6Q4z5o6W2Q4z5o6S2Q4c8e0k6Q4z5f1y4Q4b7f1y4Q4c8e0c8Q4b7V1c8Q4z5e0y4Q4c8e0W2Q4b7f1q4Q4z5p5y4Q4c8e0y4Q4z5o6m8Q4z5o6t1`. 2013-6-8 14:14 0
逍遥冷月雪币： 101 活跃值： (43) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 112 粉丝 0 关注私信	逍遥冷月 1 22 楼先在不被屏蔽的时候访问955K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3N6G2L8$3N6D9k6g2)9J5k6h3y4G2L8g2)9J5c8X3&6U0M7W2)9J5y4X3&6T1M7%4m8Q4x3@1u0Q4x3U0k6F1j5Y4y4H3i4K6y4n7i4@1f1$3i4K6R3&6i4K6V1K6i4@1f1#2i4@1u0o6i4K6R3H3i4@1f1#2i4K6V1H3i4K6S2q4i4@1f1#2i4K6R3$3i4K6S2p5i4@1f1^5i4@1u0r3i4K6W2n7K9s2c8@1M7s2y4Q4c8e0N6Q4z5f1q4Q4z5o6c8Q4c8e0g2Q4b7U0m8Q4b7U0q4Q4c8e0c8Q4b7U0S2Q4z5p5c8Q4c8e0c8Q4b7V1y4Q4z5f1q4Q4c8e0S2Q4z5o6N6Q4b7f1q4Q4c8e0g2Q4z5p5q4Q4b7e0S2Q4c8e0S2Q4b7U0N6Q4b7U0y4Q4c8e0S2Q4b7V1c8Q4b7f1y4Q4c8e0c8Q4b7V1q4Q4z5o6j5`. 2013-6-9 21:31 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

tishion

发帖

319

回帖

400

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (21)
tedrick 雪币： 298 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 237 粉丝 0 关注私信	tedrick 2 楼沙发，看标题以为是bitdefender~哈。 2013-6-4 08:22 0
ycmint 雪币： 1149 活跃值： (1033) 能力值： ( LV13，RANK：260 ) 在线值：发帖 28 回帖 894 粉丝 12 关注私信	ycmint 5 3 楼 ...................... 2013-6-4 09:01 0
bakurise 雪币： 98 活跃值： (119) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 196 粉丝 0 关注私信	bakurise 4 楼求细胞层测评分析报告！ 2013-6-4 11:01 0
莫灰灰雪币： 2529 活跃值： (2480) 能力值： (RANK：400 ) 在线值：发帖 22 回帖 715 粉丝 51 关注私信	莫灰灰 9 5 楼百度杀毒刚出来，有不足之处在所难免，和谐讨论才是王道~~ 2013-6-4 11:06 0
SinCoder 雪币： 11 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 96 粉丝 0 关注私信	SinCoder 6 楼来个溢出 ~~~ 2013-6-4 12:16 0
wogao 雪币： 4425 活跃值： (3587) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 76 粉丝 1 关注私信	wogao 7 楼最后一句诙谐幽默 2013-6-4 14:01 0
tishion 雪币： 496 活跃值： (311) 能力值： ( LV13，RANK：400 ) 在线值：发帖 20 回帖 319 粉丝 11 关注私信	tishion 9 8 楼擦，你想多了，我只是表述一下各个厂商对产品行为的细节策略而已。彻底关闭所有保护也是无可厚非的，只不过是自我保护的界定范围不同而已。 2013-6-4 14:10 0
dahwa 雪币： 114 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 70 粉丝 0 关注私信	dahwa 9 楼作为一款不是十分成熟的产品急于推出，从使用者角度讲：用户体验差，不顾及用户感受，是对用户的不尊重。如果单纯是一款简单的应用，这还算不上什么。但是百度推出的是杀毒产品，是一款安全软件，如果用户轻信安装了你的产品，导致用户利益受损，这将不仅仅是道德层面的问题，甚至可能上升到法律层面；从公司角度来讲，市场上同类产品已经相对饱和且较为成熟，用户粘合度也高，这时作为知名it企业急忙忙推出这样一款不成熟的产品不仅达不到抢占市场，扩大品牌影响力的目的，甚至适得其反，使人们对百度品牌的心理预期又下一个台阶。纵观百度近些年的所谓“战略”实在是稀里糊涂，而其内部却疯狂鼓吹“Robin”的英明神武高瞻远瞩····作为最不能缺乏忧患意识和创新精神的互联网行业，百度的企业文化和产品表现真的是让人唏嘘不已····说这么多不会被当360的枪手吧？声明：我已不用360好多年···· 2013-6-4 15:46 0
xouou 雪币： 90 活跃值： (91) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 1075 粉丝 1 关注私信	xouou 10 楼虽然经常用百度搜索,但是经常搜出来莫名其妙的企业级广告,反观google,专业就是专业.. 问题是google经常打不开,太md和谐了 2013-6-4 17:47 0
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 11 楼输入https:\\8e0K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3N6G2L8$3N6D9k6g2)9J5k6h3y4G2L8b7`.`. 任何时候任何内容都能轻松搜索 2013-6-4 17:52 0
tishion 雪币： 496 活跃值： (311) 能力值： ( LV13，RANK：400 ) 在线值：发帖 20 回帖 319 粉丝 11 关注私信	tishion 9 12 楼 - - 大家不要再把讨论偏离了技术吧。。。我这只是简单的做了下BUG验证，没想到这篇文章会被推荐，也引起大家的诸多对于厂家的讨论。可以看到厂家还是很积极，及时，努力的在修正错误，这点是值得肯定的。嗯不要歪楼了。。 2013-6-4 19:41 0
elianmeng 雪币： 967 活跃值： (1138) 能力值： ( LV6，RANK：90 ) 在线值：发帖 68 回帖 707 粉丝 4 关注私信	elianmeng 1 13 楼太牛逼了你怎么知道的？你给我签个名吧 2013-6-4 19:53 0
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 14 楼额…… 这个不是大家都知道麽？ 2013-6-4 20:18 0
dayang 雪币： 220 活跃值： (886) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 942 粉丝 1 关注私信	dayang 15 楼 https:\\906K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3N6G2L8$3N6D9k6g2)9J5k6h3y4G2L8b7`.`. 我这已经没效果了，自动转到6f6K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3N6G2L8$3N6D9k6g2)9J5k6h3y4G2L8g2)9J5k6h3S2C8i4K6u0r3i4@1f1@1i4@1u0m8i4K6R3$3i4@1g2r3i4@1u0o6i4K6S2o6i4@1f1^5i4K6S2p5i4K6R3&6 2013-6-5 11:44 0
elianmeng 雪币： 967 活跃值： (1138) 能力值： ( LV6，RANK：90 ) 在线值：发帖 68 回帖 707 粉丝 4 关注私信	elianmeng 1 16 楼用这个 92aK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2Y4L8$3!0Y4L8r3g2Q4x3X3g2U0L8$3@1`. 2013-6-5 11:45 0
tihty 雪币： 27 活跃值： (127) 能力值： ( LV8，RANK：120 ) 在线值：发帖 29 回帖 1095 粉丝 3 关注私信	tihty 2 17 楼原来是百度杀毒.. 2013-6-5 22:11 0
ingvar 雪币： 95 活跃值： (85) 能力值： ( LV5，RANK：60 ) 在线值：发帖 10 回帖 109 粉丝 0 关注私信	ingvar 18 楼 BD难道不是BitDefender吗？ 2013-6-6 11:04 0
saga 雪币： 224 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 10 回帖 120 粉丝 0 关注私信	saga 2 19 楼呵呵以为是BidDefender的路过顶楼主分享精神 2013-6-6 11:50 0
renkic 雪币： 257 活跃值： (41) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 7 粉丝 0 关注私信	renkic 20 楼做还不做好点，作出个烂东西 2013-6-6 22:25 0
mscto 雪币： 162 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 18 粉丝 0 关注私信	mscto 21 楼这个问题新版本已经修复过了，请楼主到c63K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4y4Z5j5h3c8#2i4K6u0W2j5X3q4A6k6s2g2Q4x3X3g2U0L8$3#2Q4c8e0c8Q4b7U0S2Q4z5p5u0Q4c8e0S2Q4b7V1c8Q4b7V1c8Q4c8e0k6Q4z5e0k6Q4b7U0m8Q4c8e0N6Q4z5o6W2Q4z5o6S2Q4c8e0k6Q4z5f1y4Q4b7f1y4Q4c8e0c8Q4b7V1c8Q4z5e0y4Q4c8e0W2Q4b7f1q4Q4z5p5y4Q4c8e0y4Q4z5o6m8Q4z5o6t1`. 2013-6-8 14:14 0
逍遥冷月雪币： 101 活跃值： (43) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 112 粉丝 0 关注私信	逍遥冷月 1 22 楼先在不被屏蔽的时候访问955K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3N6G2L8$3N6D9k6g2)9J5k6h3y4G2L8g2)9J5c8X3&6U0M7W2)9J5y4X3&6T1M7%4m8Q4x3@1u0Q4x3U0k6F1j5Y4y4H3i4K6y4n7i4@1f1$3i4K6R3&6i4K6V1K6i4@1f1#2i4@1u0o6i4K6R3H3i4@1f1#2i4K6V1H3i4K6S2q4i4@1f1#2i4K6R3$3i4K6S2p5i4@1f1^5i4@1u0r3i4K6W2n7K9s2c8@1M7s2y4Q4c8e0N6Q4z5f1q4Q4z5o6c8Q4c8e0g2Q4b7U0m8Q4b7U0q4Q4c8e0c8Q4b7U0S2Q4z5p5c8Q4c8e0c8Q4b7V1y4Q4z5f1q4Q4c8e0S2Q4z5o6N6Q4b7f1q4Q4c8e0g2Q4z5p5q4Q4b7e0S2Q4c8e0S2Q4b7U0N6Q4b7U0y4Q4c8e0S2Q4b7V1c8Q4b7f1y4Q4c8e0c8Q4b7V1q4Q4z5o6j5`. 2013-6-9 21:31 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复