钉钉软件API HOOK了Explorer！

JuncoJet · 发表于 2019-5-17 09:37

本帖最后由 JuncoJet 于 2019-5-17 09:41 编辑

Image 398.jpg

使用dbgView时无意中发现了一句话，第一反应卧槽中病毒了？
用任务管理器，查看PID为1304的进程，是个Explorer.exe，真是越看越像。
然后我用CE（Cheat Engine）搜索内存字符串，得到了下面的地址

Image 399.jpg

看到是一个ShellExtension_x64.dll模块，然后我们用PCHunter看一下这个模块的地址

Image 397.jpg

竟然是钉钉，他想搞什么？我们继续往下分析
我们用PCHunter检测应用层钩子（图片已丢失），共有3处钩子，两处的跳转地址一致，然后使用CE反汇编地址

Image 400.jpg

上面这个Hook只是判断是否为空，不为空就跳转，作用不明（难道是修正系统的BUG？）
使用同样方法我们反汇编出另外两个Hook的跳转地址

Image 404.jpg

使用IDA查看导出表时觉得眼熟，是个典型的ActiveX DLL，我们使用ResHacker得到他的注册表地址。还有他的大致用途。HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers
用途目测是同步文件图标使用，而事实上反汇编上面地址也证实了都是图标操作的API，但是由于不正当处理（貌似是有BUG）导致作者的电脑如下图

Image 405.jpg

然后使用Regsvr32 /u 反注册这个DLL

Image 406.jpg

重启Explorer.exe进程，一切正常。
钉钉采用的是inline hook，如果同有哪款软件和他一样inline hook同样的地址就可能产生异常，这种不安全的做法。竟然还有签名！我只能说你牛

躲在角落看繁华 · 发表于 2019-5-17 09:49

看到事关钉钉，立马进来瞅瞅。。。。。。看完全文，这是钉钉在用危险方式进行基础操作吗？架了个高射炮写着格杀勿论，结果就用来打个蚊子？

JuncoJet · 发表于 2020-3-3 10:24

bushadie 发表于 2020-3-3 09:36
有没有人遇到这种情况啊,本来用得好好的,突然来了强制人脸识别
重新安装什么的都没有
钉钉版本4.7.30 钉 ...

钉钉阿里是一家，推广个扫脸很正常嘛

wadsq1081 · 发表于 2019-5-17 09:55

进来围观一下,,看看各位大神如何解说

普桑尼克2018 · 发表于 2019-5-17 10:00

直接帮顶了一起影视区

勿空 · 发表于 2019-5-17 10:17

吾爱吧全是高手

goldli · 发表于 2019-5-17 10:26

厉害。

。条理清晰。

young24 · 发表于 2019-5-17 10:40

感谢分享

丶情兽小奴 · 发表于 2019-5-17 11:13

咱也看不懂，咱也不敢说，就这样默默的看着大佬

simon21 · 发表于 2019-5-17 11:22

恩，这个危害大吗？！？很多人在用啊！！

Portos · 发表于 2019-5-17 11:54

感谢分享

帐号		自动登录	找回密码
密码			注册[Register]

[PC样本分析] 钉钉软件API HOOK了Explorer！

免费评分

本帖被以下淘专辑推荐:

个人中心