WooYun.org

前几天腾讯更新了7.1版本.
然后意外的发现腾讯的桌面快捷方式指向的QQProtect.exe程序居然存在一个使用非系统DLL的导入

然后好奇了.作为一个"安全防护"程序,使用导入表导入自定义DLL.这不是找利用? 难道像杀软一样有目录保护?
然后copy出来再cpoy进去.成功的丢进去了.所以结论是木有这个自我保护,好吧.现在就已经看到一处摆在明面上的DLL加载问题了.
眼睛一扫发现tx使用了zlib.dll和tinyxml.dll 一般很多人在使用这俩DLL的时候都忘记去验证签名.测试下.通过修改版权信息来破坏签名,双击桌面图标,果然成功跑起来了
使用XT看下,果然把我们修改过的zlib加载上了
(此时其实从安全角度考虑已经无需其他操作了.这情况下弹窗假窗口什么的都可以做了)
输入密码登陆.等待10分钟.木有被踢出(说明自身定时检测功能没有涵盖QQProtect的组件)
然后将目录下的zlib.dll剪切到windows目录下,双击启动.

果然.这说明TX在使用这些DLL的时候是直接使用了非常非常不安全的loadlibrary("zlib.dll");
感觉已经不用继续往下看了,这已经足够说明TX,至少是"安全防护"程序完全就没有对加载的DLL进行验证...