关于“李白VS苏轼”测试Dr.Web自我保护的几点说明

happywangxl

哇，感谢留侯的真相

yonghuanh

侯爷很有风度！支持！

mhj144007

llawliet 发表于 2011-12-15 17:40
前来支持，任何一个产品都有它的强势，和它的软肋，你要是那么针对它的软肋或者说不足来说事，那么我想任何 ...

前排 +3

匪徒的強項是殺人

GoldJune

映像劫持不能算系统漏洞吧

wre2010

留侯就是不一样，说话刚刚的。

neversayno0000

也算给蜘蛛的自保正名了

李白vs苏轼

GoldJune 发表于 2011-12-16 05:19
映像劫持不能算系统漏洞吧

当然不能,有的时候是会用到的

Debugger参数存在的本意
　　是为了让程序员能够通过双击程序文件直接进入调试器里调试自己的程序，曾经调试过程序的朋友也许会有一个疑问，既然程序启动时都要经过IFEO这一步，那么在调试器里点击启动刚被Debugger参数送进来的程序时岂不是又会因为这个法则的存在而导致再次产生一个调试器进程？微软并不是傻子，他们理所当然的考虑到了这一点，因此一个程序启动时是否会调用到IFEO规则取决于它是否“从命令行调用”的，那么“从命令行调用”该怎么理解呢？例如我们在命令提示符里执行taskmgr.exe，这就是一个典型的“从命令行调用”的执行请求，而我们在点击桌面上、普通应用程序菜单里的taskmgr.exe时，系统都会将其视为由外壳程序Explorer.exe传递过来的执行请求，这样一来，它也属于“从命令行调用”的范围而触发IFEO规则了。为了与用户操作区分开来，系统自身加载的程序、调试器里启动的程序，它们就不属于“从命令行调用”的范围，从而绕开了IFEO，避免了这个加载过程无休止的循环下去。
　　由于Debugger参数的这种特殊作用，它又被称为“重定向”（Redirection），而利用它进行的攻击，又被称为“重定向劫持”（Redirection Hijack），它和“映像劫持”（Image Hijack，或IFEO Hijack）只是称呼不同，实际上都是一样的技术手段。

GoldJune

李白vs苏轼 发表于 2011-12-16 13:24
当然不能,有的时候是会用到的

Debugger参数存在的本意

所以说留后所谓漏洞，容易让我认为又在为大蜘蛛开脱。两分钟的延迟还是大蜘蛛的问题，岂能怪在微软头上。

留侯原话
”二、这个测试，是利用了映像劫持的漏洞，详见：http://baike.baidu.com/view/1008480.htm。该漏洞在VISTA/Windows7下，已经利用UAC弥补，只存在于XP系统中。所以：“

李白vs苏轼

GoldJune 发表于 2011-12-16 14:58
所以说留后所谓漏洞，容易让我认为又在为大蜘蛛开脱。两分钟的延迟还是大蜘蛛的问题，岂能怪在微软头上。 ...

IFEO是有他存在的意义的,,,UAC只是权限控制罢了,,跟IFEO没啥关系

里面有一些乱来的的,,看看便是了

留侯

GoldJune 发表于 2011-12-16 14:58
所以说留后所谓漏洞，容易让我认为又在为大蜘蛛开脱。两分钟的延迟还是大蜘蛛的问题，岂能怪在微软头上。 ...

我没有为Dr.Web开脱，有就有，没有就没有，尊重事实。

这一点，我专门咨询过Dr.Web工程师，就是他们答复的内容。我在上面也写了，选择：保护Windows操作系统重要文件，包含两个部分，一个是文件，还有一个是注册表项。由于Dr.Web Anti-virus支持的Windows系统包括Windows 7/Vista/XP/2000 SP 4，每一个系统对应的系统文件和注册表项是不同的，所以Dr.Web需要1-2分钟来完成防护。当然，您设置完成之后，重新启动电脑，也是一样的。

我想这个不难理解吧！假如您使用过卡巴斯基，我记得卡巴斯基2010在完成安装之后，会扫描信任程序，将其列入信任栏，以助于主动防御和防火墙组件的防护，也是这个道理。