慧聪IT网首页 > 行业资讯 > 原创新闻 > 正文

瑞星公布360安全卫士后门技术细节(图)

2010/2/3/14:41 来源：赛迪网

近日，360产品陆续出现严重缺陷：2月1日360安全卫士被爆存在“本地提权”漏洞，截止到2月3日11时，其产品并未修复，而官方宣称已修复（见360的官方报道http://bbs.360.cn/3229787/34800737.html?recommend=1）。随后奇虎360安全卫士又被曝出给用户电脑安装“后门”，任意读取用户隐私文件。2月3日，瑞星公司给赛迪网发来声明，称本着对所有360用户安全负责的态度，现公布360“后门”部分技术细节，请奇虎360尽快停止安装“后门”，停止侵害用户权益的行为。

以下为声明全文：

请奇虎360公司以严谨的态度尽快面对以下问题。第一：请对360安全卫士存在的“后门”进行解释；第二：对2月1日公布的360安全卫“士本地提权”漏洞仍未修复，却在官方宣布已经修复的问题做出解释；第三：请尽快对以上两大严重产品缺陷进行修复。

360安全卫士“后门”细节分析

360安全卫士后门程序涉及的主要文件是：在安装进入系统时自带的驱动文件bregdrv.sys、bfsdrv.sys，以及对这两个驱动文件调用的动态链接库bregdll.dll、bfsdll.dll。

bregdrv.sys：360内核模式驱动，该驱动程序通过调用操作系统的未公开CmXxx系列函数来操作注册表，另外由于操作系统内部本身维护了很多同步数据、缓存数据，直接调用CmXxx系列函数操作注册表极有可能造成系统内部数据不同步，严重影响系统安全性，甚至可能导致用户正常数据丢失；

bregdll.dll：用户态动态库，该动态库封装了对bregdrv.sys的调用，为用户态程序提供注册表操作后门的接口；该动态库仿照Windows操作系统API接口（加B作为前缀）导出了如下注册表操作函数，但与Windows API不同的是，bregdll.dll导出的函数在实现上绕过了操作系统的所有安全检查，直接调用极为低层的未公开CmXxx系列函数实现：

[1] [2] [3] 下一页