钉钉软件API HOOK了Explorer!
本帖最后由 JuncoJet 于 2019-5-17 09:41 编辑使用dbgView时无意中发现了一句话,第一反应卧槽中病毒了?
用任务管理器,查看PID为1304的进程,是个Explorer.exe,真是越看越像。
然后我用CE(Cheat Engine)搜索内存字符串,得到了下面的地址
看到是一个ShellExtension_x64.dll模块,然后我们用PCHunter看一下这个模块的地址
竟然是钉钉,他想搞什么?我们继续往下分析
我们用PCHunter检测应用层钩子(图片已丢失),共有3处钩子,两处的跳转地址一致,然后使用CE反汇编地址
上面这个Hook只是判断是否为空,不为空就跳转,作用不明(难道是修正系统的BUG?)
使用同样方法我们反汇编出另外两个Hook的跳转地址
使用IDA查看导出表时觉得眼熟,是个典型的ActiveX DLL,我们使用ResHacker得到他的注册表地址。还有他的大致用途。HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers
用途目测是同步文件图标使用,而事实上反汇编上面地址也证实了都是图标操作的API,但是由于不正当处理(貌似是有BUG)导致作者的电脑如下图
然后使用Regsvr32 /u 反注册这个DLL
重启Explorer.exe进程,一切正常。
钉钉采用的是inline hook,如果同有哪款软件和他一样inline hook同样的地址就可能产生异常,这种不安全的做法。竟然还有签名!我只能说你牛 看到事关钉钉,立马进来瞅瞅。。。。。。看完全文,这是钉钉在用危险方式进行基础操作吗?架了个高射炮写着格杀勿论,结果就用来打个蚊子? bushadie 发表于 2020-3-3 09:36
有没有人遇到这种情况啊,本来用得好好的,突然来了强制人脸识别
重新安装什么的都没有
钉钉版本4.7.30 钉 ...
钉钉阿里是一家,推广个扫脸很正常嘛 进来围观一下,,看看各位大神如何解说 直接 帮顶了 一起影视区 吾爱吧全是高手 厉害。{:1_893:}。条理清晰。 感谢分享 咱也看不懂,咱也不敢说,就这样默默的看着大佬 恩,这个危害大吗?!?很多人在用啊!! 感谢分享