火绒安全软件个人版针对恶意修改系统文件权限行为防护的漏洞

已于 2022-09-23 22:30:29 修改
阅读量779 收藏
点赞数
文章标签: windows
于 2022-09-22 22:35:43 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xyzzklk/article/details/126999464
版权

众所周知,Windows系统为了防止胡乱对系统文件进行改动,对不同的组或用户名对系统文件的权限进行了限制。

Windows将所有系统文件的所有者都设置为NT SERVICE\TrustedInstaller,并默认仅允许Administrators对系统文件读取读取和执行,而没有允许完全控制修改写入特殊权限

TrustedInstaller的权限
Administrators的权限

有时,恶意程序为了更改系统文件,会先重新设置系统文件的权限。

360安全卫士在遇到这种情况,会弹出一个黄色的提示窗口,警告可能会有风险发生。然而,火绒安全软件个人版似乎对此风险行为的拦截存在漏洞。

为了简单地测试,我们使用一段简短的Windows批处理脚本,模拟一个恶意程序试图修改C:\Windows\System32\cmd.exe的权限,以便之后对它进行某种更改。

@echo off
takeown /A /F C:\Windows\System32\cmd.exe
icacls C:\Windows\System32\cmd.exe /grant Administrators:F
echo 篡改权限完毕。
pause >nul
exit

使用管理员身份执行此批处理脚本。该脚本先更改了C:\Windows\System32\cmd.exe的所有者,以便之后可以对其权限进行编辑,获取更多的控制权限。之后,再赋予了管理员组对cmd.exe所有的权限。

执行后,火绒没有任何提示或反应,日志内也无任何记录。然而,我们在测试时却已开启了下图中高亮表示出的火绒自带系统加固 文件防护规则,以及其它可能相关的规则。
保护系统目录不被篡改规则

很明显,这是火绒的一个疏漏。

目前,该问题已被反馈在火绒安全论坛上上。并且,之后,官方似乎也意识到了这个问题,对该漏洞设置了Bug ID 38826。

幸运的是,在官方将此漏洞修复前,我们并非束手无策。通过在火绒自定义规则中导入一个自定义规则,我们将能够阻止部分类似行为,但仅限于来自命令行的权限篡改行为。

xyzzklk
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
linux 修改 程序访问,Linux下C代码中修改文件访问权限
weixin_33954023的博客
05-02 283
【Yasi注】:注意,不能想当然的认为,调用chmod("/opt/*",S_IRUSR),就可以把/opt 目录下的所有文件和子文件夹都置成了 r-------- (400),事实上没那么简单!这样做只会把/opt目录下的第一个文件或子文件夹置成r-------- (400),如果想把 /opt 下面所有文件和子文件都设置了,只调用一次chmod是办不到的,只有自己写个循环,做遍历才行!这两个...
修改文件权限
zy010101博客
05-28 895
在Linux下,一切皆文件。我们使用ls -l命令可以查看文件的属性,其中就有文件拥有者,拥有者所在组,其他用户对文件的权限。当我们需要更改文件权限的时候,我们可以使用以下命令来修改文件权限。 chmod命令更改文件权限 chmod [who] [+/-/=] 文件名 who代表的就是文件拥有者,文件所在组的其他用户,系统的其他用户。分别用字母u,g,o表示。如果想更改所有用户的权限,使用...
更改文件修改权限
weixin_38084511的博客
11-03 484
在配置xml的时候没有权限修改,右键属性→安全→编辑,点击用户勾选需要使用的权限后就可以对xml文件进行更改
文件的权限及修改
weixin_41577115的博客
04-04 627
####linux里面一切皆文件#### 1.查看目录和文件的属性: 文件权限的查看:ls -l file ## 查看文件的权限 目录里面文件权限的查看:ls -l dir ## 查看目录里面文...
火绒能更新服务器系统么,火绒自动升级频率是怎么样的?
weixin_34470566的博客
08-06 773
【1】2020-09-05 19:00:38,其他,升级日志,自动更新成功,版本号:5.0.52.0【2】2020-09-04 19:00:38,其他,升级日志,自动更新成功,版本号:5.0.52.0【3】2020-09-03 17:42:24,其他,升级日志,自动更新成功,版本号:5.0.52.0【4】2020-09-03 10:22:12,其他,升级日志,自动更新成功,版本号:5.0.52.0...
火绒安全软件(安全防护软件)官方中文完整版V5.0.61.1
06-05
火绒安全软件(安全防护软件)官方中文完整版V5.0.61.1
火绒安全软件(安全防护软件)官方中文完整版V5.0.62.4 | 火绒杀毒软件官网下载
08-15
火绒安全软件 是目前国内极少数专注安全防护软件领域集‘杀、防、管、控’于一体的良心软件,具有资源占用小、高查杀、低误杀、多重防护、弹窗广告拦截器、系统加固、轻巧纯净以及不弹窗、不捆绑、不劫持浏览器等...
火绒安全软件(安全防护软件)官方中文标准版V5.0.61.1
06-05
火绒安全软件(安全防护软件)官方中文标准版V5.0.61.1
服务器版火绒安全 服务器专用杀毒软件 火绒服务器版
01-22
服务器版火绒安全 服务器专用安全防护系统 火绒服务器版 服务器版火绒安全 服务器专用安全防护系统 火绒服务器版
火绒安全软件(安全防护软件)官方中文标准版V5.0.62.4 | 火绒杀毒软件官网下载
08-15
火绒安全软件 是目前国内极少数专注安全防护软件领域集‘杀、防、管、控’于一体的良心软件,具有资源占用小、高查杀、低误杀、多重防护、弹窗广告拦截器、系统加固、轻巧纯净以及不弹窗、不捆绑、不劫持浏览器等...
火绒安全的用法:全面保护您的计算机安全
最新发布
qq_44103359的博客
04-13 482
火绒安全是一款功能强大的计算机安全软件,它提供了病毒查杀、系统清理、安全防护等多种功能,以保护用户的计算机免受各种网络威胁。本文将详细介绍火绒安全的使用方法,并通过具体例子来解释其功能。
火绒规则 禁止所有软件的安装_【技术宅】火绒安全软件防流氓规则编写及使用小白教程(附成品)...
weixin_39747975的博客
12-20 7785
【动漫星空导读】今天小编给大家讲一下如何用火绒自定义规则禁止流氓软件祸害自己的电脑,本人也是小白,就是比较爱折腾,有错的地方希望大家多多指教!首先介绍下火绒的规则,目前火绒系统防护规则支持的通配符如下:* 可以使用星号代替0个或多个字符。如果正在查找以AEW开头的一个文件,但不记得文件名其余部分,可以输入AEW*? 可以使用问号代替一个字符。如果输入love?,查找以love开头的一个字符结尾文件...
浏览器的主页被恶意篡改并被锁定不能修改怎么办,用火绒一招解决?
guyexing的博客
11-13 8964
浏览器的主页被恶意篡改并被锁定不能修改怎么办,用火绒一招解决? 每一次打开浏览器(无论是谷歌还是IE)都会出现这样的页面。 我尝试过网上的许多方法例如修改浏览器里面的启动项,把修改快捷方式后面的网址删掉,修改注册表等等都不行,而我又不想下载其他的安全软件(仅有火绒)。所以,我就打开了火绒并且解决了问题。 1,首先,打开火绒。 2,打开安全工具 3,打开系统修复,并扫描修复完成 最后就搞定了。 ...
火绒规则 禁止所有软件的安装_火绒阻止流氓全家桶规则
weixin_42515392的博客
12-30 6937
火绒阻止流氓全家桶规则能够有效的阻止各种全家桶的安装,并且还能够对各种常见的广告进行全面的屏蔽,对于各种全家桶类型的软件这款软件几乎能够做到屏蔽,能够极为有效的帮助用户减少在电脑上面的乱七八糟的内容,感兴趣话就快来下载这款火绒阻止流氓全家桶规则!火绒阻止流氓全家桶规则介绍防不胜防的流氓软件,一不小心就帮你装上全家桶,导致电脑卡成PPT。没有电脑知识的用户,尤其是父母的电脑,通过某个搜索引擎搜索软件...
火绒是个死教条的程序!
极速版 超精简 超级修改版 自动化编程 轻松破解 轻松修改 去后门 去升级 智能化 自动化
06-08 3885
原创   作者:发威时刻 让你的Deep Freeze用起来更贴心的技巧: 原文链接http://blog.csdn.net/menghuanruanjian/article/details/51612200 各位读者 还记得我们上次写的文章么?通过该文章最后的部分,我们发现迁移到新居住区(D:\ProgramData)的小伙伴们活得很好,它们能很好的“生活”(保存配置文件),
如何修改文件的权限
blueskydong121的博客
07-01 1287
文件权限的划分:-    rw-    r--    r--标识文件权限     第一部分 - 代表文件类型     第二部分 rw- 代表文件拥有者的权限                                       使用u表示     第三部分 代表文件拥有者处于同一用户组的用户权限         使用g表示     第四部分 其他人权限                
删除文件时,出现你需要来自XXXX的权限才能对此文件夹进行更改的解决办法
热门推荐
世界第一帅的博客
09-30 2万+
有时我们在删除文件夹或者文件时,会弹出类似下图所示的提示框 此类状况,在我的知识范围内,有两种处理方式。 一、手动更改权限 1.右击此文件,点击“属性”,然后点击上方的“安全”,如下图 图1.1 2.点击下方“高级",如下1图,点击之后出现2图 图2.1 图2.2 3.点击“所有者”后面的“更改”,如下图 ...
应用程序试图执行安全策略不允许的操作。要授予此应用程序所需的权限,请与系统管理员联系,或在配置文件中更改该应用程序的信任级别。...
dieshitun4694的博客
11-27 2723
今天在更新原来项目的的时候突然出现了,安全性异常,在网上找了很久的资料终于解决了,在此做下记录,我用的是iis7.5 + Server2008系统: 解决方法: 1. 打开iis 选中该连接池。 2. 点击选择 高级设置。 3. 选择 进程模型--》选择标识 --》设置NetworkService 4. 确定 OK 转载于:https://www.cnblo...
Linux版本火绒安全软件部署
02-07
火绒安全软件是一款专为Linux系统设计的安全防护软件,它可以提供实时的恶意软件防护、网络攻击防御、系统漏洞修复等功能。下面是Linux版本火绒安全软件的部署步骤: 1. 下载软件包:首先,你需要从火绒官方网站下载适用于Linux系统火绒安全软件包。 2. 安装软件包:解压下载的软件包,并进入解压后的目录。然后,以root用户身份执行以下命令进行安装: ``` ./install.sh ``` 3. 配置软件:安装完成后,你可以通过编辑配置文件来自定义火绒安全软件行为。配置文件通常位于`/usr/local/HuoRong/`目录下。 4. 启动服务:执行以下命令来启动火绒安全软件服务: ``` systemctl start HuoRong ``` 5. 设置开机自启动:如果你希望火绒安全软件系统启动时自动启动,可以执行以下命令: ``` systemctl enable HuoRong ``` 至此,Linux版本火绒安全软件的部署就完成了。你可以根据实际需求进行进一步的配置和使用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值