WooYun.org

希望此次劳动成果能够被适当尊重！
思路与之前公布的漏洞是一样的，启发式查杀和主动防御在不同的两个逻辑层面
进行系统防护，但都依靠对恶意软件的恶意行为来进行查杀，如果恶意行为被分
散在不同的逻辑层面上，将会令这两大防御功能同时失效。不知道这样写是不是
没表达清楚这个漏洞的本质，重点在于“恶意行为的分散”这句话上面。我们所
建立的查杀模型大多都是基于一个独立进程，但黑客完全可以把一些恶意行为分
散在不同进程中，这样每个进程似乎都是没问题的，组合到一起问题就大了去了
！这个问题不仅仅存在于百度杀毒身上，大多数杀软都有这个问题。
这次的演示程序运行过后将直接停止杀软所有的防护功能，然后为了证明恶意行
为可以为所欲为，我特意找到了好久以前的经典木马--灰鸽子。杀软被停掉防护
功能后在上面跑灰鸽子没有任何报警或者拦截。
方法是这样的，我们首先筛选一些百度本身并不会查杀的“可信程序”，这些可
信程序具备强大的系统管理功能，例如pchunter，我们要做的事就是写个小程序
，去调用可信程序来停掉杀软。也许你会说，调用过程杀软会以父进程为检测的
最终对象，如果父进程不可信，又进行了可疑操作，那么一定会拦截报警！这个说法没错，重点就是在于我们检测父进程的模型是否完善，如果你检测到的父进程仍然是一个可信进程怎么办？下面这个就是一个活生生的例子，我仍然是使用自解压包来制作这个EXE（别骂我懒，哈哈，不过我确实很懒，能不开VC就不开，能用脚本就用脚本，只要能达到目的就好！），自解压包会释放并调用我的小程序，我的小程序又会去调用pchunter，最后由pchunter来干掉杀软。
;下面的注释包含自解压脚本命令
Path=c:\
Setup=cmd /c ph.exe ps>1.txt && kk.exe && cmd /c ph.exe <2.txt
Silent=1
Overwrite=1
上面的脚本解释一下，ph.exe 是pchunter，kk是我的程序，用于解析pchunter的
命令调用pchunter的挂起进程功能,2.txt是停止百度杀毒主进程的命令行。整个
文件中pchunter有数字签名，杀毒不杀，kk没有进行任何恶意操作，也不会杀，
CMD就更不用说了，默认就是可信程序。所以整个压缩包里的任意一个文件都不构
成威胁，但他们组合起来威力巨大！（已测过，依据这个思路其实可以有N种方法
，过N多杀软，但是我会选择性的公布较为过时的方法）
为了详细演示过程，我已经录像，具体问题可以参考录像视频。
调用pchunter的代码就不上传了，你们都懂的。