4月13日,有安全研究人员在X上直接把一件事抛出来:金山毒霸和360安全卫士这两款“主流杀毒软件”,它们的内核驱动里出现高危漏洞,风险不是“误杀文件”那种级别,而是能把攻击者直接推到系统最核心的权限层。

360卫士 绿色版_金山毒霸内核漏洞_360安全卫士驱动缺陷

金山毒霸、360安全卫士被曝存在内核驱动高危漏洞

简单说就是,正常情况下,杀毒软件应该是站在用户系统外面“守门”的。但一旦它的驱动本身存在严重缺陷,守门人反而可能给坏人开了侧门。更让人不舒服的是,这两起问题都指向同一类关键点:内核态(Ring 0)的权限、签名信任链、以及在用户层面“无需额外安装”的攻击可能性。

先看金山毒霸这边。研究者提到,它的驱动 kdhacker64_ev.sys 在处理用户输入时,缓冲区分配只分给了“所需的一半”。这会直接导致写入的数据量超过缓冲区容量——1160字节写进584字节的空间,形成了典型的内核池溢出。更关键的是,这个驱动还带有有效的 EV 签名。换成普通人的话就是:系统往往会因为签名“看起来很正规”而放行相应驱动加载流程。攻击者如果能利用溢出点,就可能实现对系统的完全控制。

360卫士 绿色版_360安全卫士驱动缺陷_金山毒霸内核漏洞

而360安全卫士的情况更偏“直接动刀”。研究者指出,DsArk64.sys 驱动通过 IOCTL 接口接收一个4字节的进程ID,然后在Ring 0层级调用 ZwTerminateProcess,强制终止任意进程,还可能绕过 PPL(受保护进程)机制。听起来像是“能随便杀进程”,但在Windows安全语境里,Ring 0 + 绕过保护机制意味着:你面对的不再是普通权限不足的问题,而是更接近“系统内部被人动了手脚”。

最扎心的部分在细节里。该驱动不仅具备内核读写能力,还把解密密钥用 AES-128-CBC 方式硬编码在二进制文件的.data 段中,并且据称所有版本使用同一把密钥。与此同时,它还通过了 WHQL 签名认证。也就是说,就算攻击者没有办法“从零开始装软件”,只要能绕到这条驱动的加载/调用链上,就可能把恶意动作带进系统最深处。对普通用户来说,最常见的安全直觉是“杀毒软件都做过签名认证了,至少不会这么脆”。但这种“脆”一旦发生在内核驱动层,就不再是普通用户能靠清理、更新、重装来轻松解决的那种问题。

金山毒霸内核漏洞_360安全卫士驱动缺陷_360卫士 绿色版

研究者还补了一层“更像高危漏洞链”的可能性:这两个问题已提交到 LOLDrivers 数据库,但目前没有拿到 CVE 编号,也不在 HVCI 屏蔽名单中。这里的意思更偏工程侧——不是说它已经被彻底坐实“全球通杀”,而是说它们并没有被正规漏洞编号体系明确标记,也没有被某些机制提前做过屏蔽处理。攻击者如果掌握利用方式,理论上就可能从普通用户权限一步步提权到 SYSTEM;再进一步,甚至可能绕过 KASLR 并窃取内核凭据,或修改内核回调表来隐藏恶意行为。

你会发现,表面上这是“驱动漏洞”,但实际伤口在三个地方同时扎着:第一,内核态权限太高;第二,签名(EV/WHQL)会给系统和用户一种“可信度”的错觉;第三,利用链可能不需要攻击者事先在受害机器上安装额外软件,只要加载恶意载荷或触发驱动缺陷即可。

金山毒霸、360安全卫士被曝存在内核驱动高危漏洞

金山毒霸内核漏洞_360卫士 绿色版_360安全卫士驱动缺陷

这才是为什么这种消息一出来,往往比“普通网页漏洞”“普通应用崩溃”更容易引发强烈情绪。因为它动摇的是安全行业长期被寄予的那种“底线感”:杀毒软件既然能防,就应该不会成为防线里的漏洞源头。可当防线本身出现漏洞,用户能做的事情就会变得很有限——你再谨慎下载,再少点不明链接,也挡不住驱动层的设计缺陷或实现瑕疵被利用。

更现实的一点是,很多用户对“杀毒软件到底在做什么”并不了解。他们以为杀毒软件主要是扫描、拦截、提示风险。但在现代系统里,防护能力往往离不开内核驱动:要拦截文件写入、进程行为、系统调用,就得更底层地介入。于是问题就出现了——防护越深,攻击面也越深;驱动越“可信”(签名越正规),一旦利用成功,破坏也越“彻底”。

360卫士 绿色版_金山毒霸内核漏洞_360安全卫士驱动缺陷

还有一种常见心理是“没拿到CVE编号就不算大事”。但从用户角度看,CVE编号更多是管理与披露的节奏,并不等同于风险大小;而不在某些屏蔽名单里,也并不代表系统一定安全。真正让人紧张的,是驱动具备 EV 或 WHQL 这类签名特征,意味着攻击者不必像传统恶意软件那样绕开所有信任门槛,路径可能更短,代价更低。

到这里,读者最容易产生的共鸣是:为什么同样是“杀毒软件”,有人能借它提权、控制系统?是不是行业在追求能力时把“安全实现”放在了后面?是不是用户看到的更新公告、拦截提示,和内核驱动层面的实际安全质量之间,存在巨大的信息差?这些问题不需要夸张,光是把逻辑捋顺,你就能明白它为什么让人憋着火——不是因为“某一次感染”,而是因为“底层防护也可能失守”。

金山毒霸内核漏洞_360卫士 绿色版_360安全卫士驱动缺陷

当然,消息本身是研究人员披露,最终能否被广泛利用、利用难度如何、厂商修复进度到哪一步,都需要后续验证。但从今天这个时代看,普通人最需要的不是追着猜结论,而是把态度拉回到更现实的一点:系统安全从来不是“装了杀毒就万事大吉”,而是整个链条的质量。任何一环在内核态出现高危缺陷,都可能把风险从“可修复的损失”升级成“不可逆的控制”。

当你在电脑前打开某个杀毒软件的图标时,最希望看到的其实不是“它看起来很强”,而是“它强在底层也强在实现”。而一旦底层驱动被爆出这种级别的问题,留给普通用户的只剩两种感受:一是替系统安全体系捏了把汗,二是突然意识到自己每天用的那套“看不见的防护网”,也可能存在致命的缝。

360卫士 绿色版_金山毒霸内核漏洞_360安全卫士驱动缺陷

如果你正在使用相关产品,这类消息出来之后,最现实的应对通常不是恐慌,而是尽快确认更新状态、关闭不必要的高权限能力、避免未知来源的行为触发,以及关注厂商是否给出对应修复与验证。因为这种漏洞的可怕之处不在于“它听起来吓人”,而在于它离系统核心太近了——近到一旦被利用,后果就是你几乎来不及反应。