请使用手机微信扫码安全登录

切换账号密码登录

绑定手机号

应国家法规对于账号实名的要求,请您在进行下一步操作前,需要先完成手机绑定 (若绑定失败,请重新登录绑定)。了解更多

不绑定绑定手机号

360官网 | 360商城

推荐论坛版块360粉丝商城360用户活动常见问题

60安全卫士内核驱动曝高危漏洞

2026-4-14 22:18 | 复制链接
2 768
金山毒霸与360安全卫士内核驱动曝高危漏洞

安全研究人员Patrick Saif昨日在 X 平台发布推文,披露金山毒霸与 360 安全卫士两款主流杀毒软件的内核驱动存在高危漏洞。金山毒霸的kdhacker64_ev.sys驱动在处理用户输入后,分配的缓冲区大小仅为所需的一半,导致 1160 字节数据写入 584 字节空间,直接引发 512 字节的内核池溢出。该驱动拥有有效的EV签名,攻击者可利用此漏洞完全控制系统。360 安全卫士的 DsArk64.sys 驱动允许通过IOCTL接口传入4字节进程ID,并在 Ring 0 层级调用 ZwTerminateProcess 强制终止任意进程,甚至能绕过PPL机制。
https://k.sina.cn/article_1642634100_61e89b7404001mqik.html?

回复 评分 收藏

共 2 个关于60安全卫士内核驱动曝高危漏洞的回复 最后回复于 2026-4-16 21:17

评论

直达楼层

沙发
leo0205 产品答疑师 发表于 2026-4-15 21:38 | 只看该作者 | 私信

IP属地: 北京市

您好,经核实,相关报道引用的技术分析与事实不符。360安全卫士不存在其所称的漏洞,请大家放心使用。报道中提到的驱动功能,是用于查杀顽固病毒木马的手段,这个功能只有具有管理员权限且有360签名的进程才能使用,所谓“可被利用窃取凭据”的说法纯属臆测,与实际情况完全不符
丘比特的萌笑 LV4.上士 回复360fans_43770860:个人电脑的话,重要数据那就只能经常备份。企业的电脑,实在不放心那就换个杀软过渡一段时间看看再说。当年2012年诺顿的源代码还遭黑客组织泄露(黑客组织“Anonymous”于2012年公开,源代码被上传至The Pirate Bay,文件大小约1.07GB,涵盖消费版与企业版多个平台版本),也是搞的人心惶惶,引发业界对杀毒软件自身安全性的担忧,源代码一旦公开,可能被用于逆向分析,发现漏洞或绕过检测机制,但赛门铁克(Symantec)多次强调,‌当前版本产品不受影响‌,因现有软件已完全重构,与旧代码无关联,但 
2026-4-16 10:51回复

IP属地: 上海市

360fans_43770860 LV3.中士 杀软需要用驱动来提权是什么新鲜的事吗,但是只靠管理员权限就能确保安全?密钥硬编码还一直相同的事又怎么说?新闻已经出了老板恨不得让连夜把软件换了,不痛不痒在论坛回复一句不实有什么用 
2026-4-16 00:40回复

IP属地: 新疆维吾尔自治区
板凳
360fans_43770860 LV3.中士 发表于 2026-4-16 21:17 | 只看该作者 | 私信

IP属地: 未知

git上的原话是:
1. if 360 is installed, no injection is needed at all
1. 如果安装了 360,根本不需要注入
the driver has two auth paths. from ghidra:
该驱动程序有两个认证路径。根据 ghidra:
Auth_360SelfProtOrSigningCheck @ 0x23c54
  RtlInitUnicodeString(&str, L"\\Device\\360SelfProtection")
  IoGetDeviceObjectPointer(&str, ...)
  if success:
    IoBuildDeviceIoControlRequest(0x222014, ...)
    IofCallDriver(...)
    if (result != STATUS_INVALID_DEVICE_REQUEST):
      return true   <-- no signing check
  // fallback
  return Auth_Fallback_VerifyProcessSignature()
if \Device\360SelfProtection exists and responds to IOCTL 0x222014, the custom Authenticode check is skipped entirely. on any machine with 360 installed (which is the point of BYOVD -- the driver is bundled with 360), device open works directly from any admin process. no hollowing. no injection. just CreateFileW and DeviceIoControl.
如果 \Device\360SelfProtection 存在且响应 IOCTL 0x222014,则完全跳过自定义的 Authenticode 检查。在任何安装了 360 的机器上(这也是 BYOVD 的目的——驱动程序随 360 捆绑),设备打开可以直接从任何管理员进程进行。没有空洞化。没有注入。只是 CreateFileW 和 DeviceIoControl。
the injection path only matters when the attacker brings the driver to a machine without 360. that is a valid scenario, but the argument assumes the injection step is always required. it is not.
注入路径只有在攻击者将驱动程序带到没有 360 的机器时才重要。这是一个有效的场景,但该论点假设注入步骤总是必要的。并非如此。
签名日期是2024的,漏洞是LOLDrivers入库的,结果在社媒上除了带节奏说人家用的是老版和单方面说消息不实之外,回应了个寂寞
返回列表
高级模式   
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则

360fans_35082811 LV2.下士

粉丝:0 关注:0 积分:46

精华:0 金币:86 经验:42

IP属地: 局域网

最后登录时间:2026-4-14

私信 加好友

最新活动

【官方公告】360安全龙虾已入驻360社区

排行榜

热度排行 查看排行
本月
    本月

      扫码添加360粉丝团助手有超多福利等你来哦

      快速回复 返回顶部 返回列表