研究 | “二开”火绒遮天专版，专属于你

没错，定制属于你的火绒专版，直接上图👇

效果如上图：“遮天正在攻击您的电脑”，下面开始分析

截至发文时间，使用的是官网最新版本6.0的火绒安全软件：

https://down-tencent.huorong.cn/sysdiag-all-x64-6.0.2.4-2024.10.23.1.exe

下载好安装包后为了方便我选择了安装在D盘，在进行定制的时候就不用申请管理员权限了。

安装好后退出火绒安全中心，防止存在后台监控文件

任务管理器中搜索hips，找到相关残留的进程

由于后台存在守护进程，普通方法无法将其停止，直接到火绒安装目录将bin目录拷贝一份到其他目录

进入bin目录后可以看到存在很多应用程序和.ui文件。这里的.ui文件是GUI开发框架QT5的GUI界面渲染配置

由于火绒是模块化设计，其功能类似于插件一样由HipsMain.exe主程序来调用

找到main.ui文件，使用notepad++编辑，将文件编码转为utf-8即可查看到中文明文。从配置文件找到zh-cn.xml 中文语言包配置

将语言包里对应的中文信息字符改成想要自定义的即可。这里需要注意一点，字符串长度需要和默认的字符串长度相等。如果想要替换成英文字母的话，一个中文长度等于3个英文字母的长度。

修改好后，双击HipsMain.exe程序，可以看到界面上的字符成功被修改成自定义显示的。

好了到此收工。至于是否存在xss、文件包含、参数控制之类的漏洞，我也不想再深入测试了，感兴趣的小伙伴可以自行研究（未提交漏洞平台，可以试试）。PS：我们不研究高级攻防，只整些有意思的小玩意。

由于火绒是模块化设计，其中有些比较好用的模块，如“安全分析工具”、“弹窗拦截”。直接将对应的exe、dll、.ui文件拷贝，即可脱离火绒独立运行。

在某些应急场景中，直接掏出杀毒软件会显得不太转业，被客户看扁。根据上面的玩法，我将“安全分析工具”给单独提取了出来，修改对应的UI文件做成了“遮天安全分析专版”，这样看起来高大上了很多，当你掏出工具的时候客户直接对你另眼相看haha。

· 往期研究的一些其他小姿势：棱镜 | 隐藏的攻防、应急利器