文章总结： 安全研究人员披露金山毒霸kdhacker64_ev.sys驱动存在内核池溢出漏洞，360安全卫士DsArk64.sys驱动存在进程终止权限绕过和硬编码密钥问题。这两个已签名的驱动漏洞可使攻击者从普通用户提权至SYSTEM权限，绕过安全机制并隐藏恶意行为。建议用户关注官方更新并及时修补。 综合评分： 78 文章分类： 漏洞分析,终端安全,恶意软件,安全工具,威胁情报

【安全圈】金山毒霸、360 安全卫士被曝存在内核驱动高危漏洞

安全圈

2026年4月14日 19:00 江苏

在小说阅读器读本章

去阅读

关键词

漏洞

安全研究人员 Patrick Saif（@weezerOSINT）昨日（4 月 13 日）在 X 平台发布推文，披露金山毒霸与 360 安全卫士两款主流杀毒软件的内核驱动存在高危漏洞。

金山毒霸的 kdhacker64_ev.sys 驱动在处理用户输入后，分配的缓冲区大小仅为所需的一半，导致 1160 字节数据写入 584 字节空间，直接引发 512 字节的内核池溢出。该驱动拥有有效的 EV 签名，攻击者可利用此漏洞完全控制系统。

360 安全卫士的 DsArk64.sys 驱动允许通过 IOCTL 接口传入 4 字节进程 ID，并在 Ring 0 层级调用 ZwTerminateProcess 强制终止任意进程，甚至能绕过 PPL（受保护进程）机制。

更严重的是，其内核读写功能使用 AES-128-CBC 算法，让解密密钥硬编码在二进制文件的.data 段中，且所有版本使用同一密钥，且该驱动通过了 WHQL 签名认证。

目前两个漏洞已提交至 LOLDrivers 数据库，均未获 CVE 编号且不在 HVCI 屏蔽名单中。攻击者利用这些漏洞可从普通用户提权至 SYSTEM，绕过 KASLR 并窃取内核凭据，甚至修改内核回调表隐藏恶意行为。鉴于涉事驱动具备 EV 或 WHQL 签名，攻击者无需在目标机器安装软件即可加载恶意载荷。

END

阅读推荐

【安全圈】黑客利用 Claude 和 ChatGPT 入侵多家墨西哥政府机构

【安全圈】国际联合行动识别超 2 万名加密货币诈骗受害者

【安全圈】十亿条 CISA KEV 修复记录分析揭示人力安全模式的极限

【安全圈】知名电脑检测软件 CPU-Z、HWMonitor 被入侵！安装包被投毒 开发者回应

安全圈

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈 《【安全圈】金山毒霸、360 安全卫士被曝存在内核驱动高危漏洞》