★★★上课回看了一下，主防漏了AppInit_DLLs这个危险的地方,无奈啊无奈啊

显示全部楼层 · 发表于 2011-3-23 23:47:46

本帖最后由李白vs苏轼于 2011-3-24 17:30 编辑

遗漏的点是AppInit_DLLs(智能模式不拦截)
位于:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
刚才看了下,可以修改,瑞星没有进行拦截
最大的危害只要进程使用了User32.DLL，都会对AppInit_Dlls键值指向的DLL进行加载，如果是一个Windows服务程序，也不例外

科普一下吧

AppInit_Dlls相对于其他的注册表启动项来说，这个键值的特殊之处在于任何使用到User32.dll 的EXE、DLL、OCX等类型的PE文件都会读取这个地方，并且根据约定的规范将这个键值下指向的DLL文件进行加载，加载的方式是调用 LoadLibrary。

AppInit_Dlls的键值是一个非常危险的键值，从某种程度上来说，这是一个Windows最容易被人利用的漏洞，因为只要有任何的恶意软件在这里进行了修改，那么就意味着任何使用到User32.DLL的进程都会被AppInit_DLLs指向的DLL所注入。因为进程内部的DLL是共享整个进程空间的，因此意味着进程里面的DLL是可以控制整个进程的行为的。由于User32.DLL是一个非常非常通用的DLL，它提供了大多数Win32用户界面、消息相关的功能，只有极少数的程序不会使用User32.DLL

第一次使用瑞星,不是很熟悉,勿喷呵呵

显示全部楼层 · 发表于 2011-3-23 23:51:32

st

中国网络安全行业的未来就靠lz了

显示全部楼层 · 发表于 2011-3-23 23:52:40

期待楼主的高见！

显示全部楼层 · 发表于 2011-3-23 23:53:50

坐等楼主编辑

显示全部楼层 · 发表于 2011-3-24 00:01:01

前来学习……

显示全部楼层 · 发表于 2011-3-24 00:02:03

学习~【虽然作为一个小白我神马都看不懂

】

显示全部楼层 · 发表于 2011-3-24 00:03:01

回复 1楼李白vs苏轼的帖子

呵呵刚刚期末考试考完今天不断（感谢我校那杯催的三学期制）

显示全部楼层 · 发表于 2011-3-24 00:03:56

回复 7楼 dyl210 的帖子

奇怪我00：01还没断网啊

显示全部楼层 · 发表于 2011-3-24 00:06:48

回复 8楼李白vs苏轼的帖子

呵呵你们学校是不是12点断电啊如果是的话可以试下：断电后网线直接插主线用笔记本还可以再上2小时

显示全部楼层 · 发表于 2011-3-24 01:03:01

回复 9楼 dyl210 的帖子

永远不断电就断网，无奈

[瑞星] ★★★上课回看了一下，主防漏了AppInit_DLLs这个危险的地方,无奈啊无奈啊

评分