火绒盾（断开网络失效）问题已经查明～～【问题已经解决】

zhq445078388

BootMgr 发表于 2012-7-31 15:48
小case了，这种低级BUG都不用调试，IDA看了两下就定位了。

像我这种小菜..拿着ida逆金山驱动 一礼拜都没弄明白咋回事 不过大概知道很多地方是通过扫特征的方式

找bug..离我十万八千里啊

继续膜拜

BootMgr

zhq445078388 发表于 2012-7-31 15:51
像我这种小菜..拿着ida逆金山驱动 一礼拜都没弄明白咋回事 不过大概知道很多地方是通过扫特征的方式 ...

其实这个NETMON也不是我写的，我也好多年没玩什么EAT/IAT之类的挂钩的东西了，但是经验在这里，拿着IDA随便瞅两眼就明白了，火绒的很多代码我都不用去看，就看看字符串和参数传递我就知道里面的函数是干什么的了，所以点几下鼠标就找到他的BUG的原因了

Flameocean

BootMgr 发表于 2012-7-31 15:49
IAT /EAT都没学清楚就来装什么呢？都跟你说了，多学习学习，别以为前CTO就了不起了，你说的根本就不对，必 ...

MJ大帝，楼主才是CTO，你回复的这个是员工哦，嘻嘻，膜拜MJ大神乐意助人

BootMgr

china_killer 发表于 2012-7-31 14:47
MJ还是那个MJ

第一：我们说了，我们会在近期解决这个冲突

56楼已经帮你分析清楚原因了，改进的方案也很简单的，多调一个API，一行代码就搞定了，你就别“近期”再解决了，记得在更新说明和帖子上附上对我和360的道歉和致谢声明哦，这样可以赢得一次我在卡饭帮你做 code review再发现几个低级BUG的机会哦，很划算是不是

zhq445078388

BootMgr 发表于 2012-7-31 15:53
其实这个NETMON也不是我写的，我也好多年没玩什么EAT/IAT之类的挂钩的东西了，但是经验在这里，拿着IDA ...

听说大大最近在无限尝试过自家的主防呢.然后再补漏
主防已经这么成熟了么?.

大金鱼先生

BootMgr 发表于 2012-7-31 15:56
56楼已经帮你分析清楚原因了，改进的方案也很简单的，多调一个API，一行代码就搞定了，你就别“近期”再 ...

我觉得很划算，但LZ不知道如何····

china_killer

BootMgr 发表于 2012-7-31 15:44
下了个火绒，简单看了下这个的实现，搞明白原因了， 根本就不是你那个贴图的调用原始的NdisRegisterPro ...

在火绒驱动时，我们是获取了NdisRegisterProtocol 等函数的地址，并且做了保存，在TCP模块加载时进行IAT
HOOK时用来做比较的依据。。。而360使用了EAT HOOK 火绒比较的时候确实造成：挂接比较的不匹配。

我们对失言表示歉意。下版修复这个问题。

怎么样了

china_killer 发表于 2012-7-31 15:59
在火绒驱动时，我们是获取了NdisRegisterProtocol 等函数的地址，并且做了保存，在TCP模块加载时进行IAT  ...

值得赞赏

BootMgr

china_killer 发表于 2012-7-31 15:59
在火绒驱动时，我们是获取了NdisRegisterProtocol 等函数的地址，并且做了保存，在TCP模块加载时进行IAT  ...

这跟360没关系，我说了，只要碰上来是EAT HOOK的，你们这个必然失效

既然你还嘴硬，还要再带上360，我就再帮你这个前CTO深入分析一下：

就算没有人去EAT HOOK，假设有一个和火绒一样的软件， 也挂镜像回调去挂TCPIP的IAT，如果它获得镜像回调比你早，那时IAT已经被它HOOK掉了。那你这个一样失效

这种场景，人家和你用一样的方法，结果导致你的失效，你总不能再说别人的方案有问题了吧？


也就是说，为什么我说你这个搜索的挂钩方案本身就完全不靠谱，根本不存在商业软件的可靠性，懂了没？

做做小工具小软件这么挂还可以， 如果要做商业软件，就要选择优秀的经过深思熟虑的方案，有没有？

vardyh

china_killer 发表于 2012-7-31 15:59
在火绒驱动时，我们是获取了NdisRegisterProtocol 等函数的地址，并且做了保存，在TCP模块加载时进行IAT  ...

同表。