完整性保护是否可以防御Real播放漏洞导致的威胁。

okokok

当大部分用户已养成定时给系统打漏洞补丁的习惯后，木马制造者又看中了第三方软件漏洞传播这一“隐蔽”渠道。被利用的第三方ActiveX插件漏洞，涉及迅雷、暴风影音、百度超级搜霸、realplayer等多款常见软件的部分版本中，而且其中多数漏洞曾经是或者现在仍是0day漏洞。

【RealPlayer】
1. 漏洞说明
RealPlayer的MPAMedia.dll库所提供的RealPlayer数据库组件在处理播放列表名时存在栈溢出漏洞，远程攻击者可能利用此漏洞控制用户系统。由于可使用ierpplug.dll所提供的IERPCtl ActiveX控件将本地文件导入到RealPlayer中指定的播放列表，因此如果用户受骗访问了恶意网页并导入了恶意文件的话，就可以触发这个溢出，导致拒绝服务或执行任意指令。
2. 存在漏洞版本
RealPlayer11 Beta、RealPlayer10.5、RealPlayer10.6

除了更换最新版本修补漏洞外，是否还可以用完整性保护来防御呢，如果不想更换real播放器版本的话。
我自己设置的是：完整性保护-关键程序-real三项都是提示操作，完整性保护-关键程序-IE浏览器中阻止了MPAMedia.dll和ierpplug.dll。(基本都是断网后关了卡巴，然后开启Real播放电影..所以这么设置，不会频繁提示，也不会有什么影响)
　
不知道这么设置对不对（别笑我，自己瞎琢磨设置的，哈） 欢迎大家分享正确的设置方法来防御此漏洞。

[ 本帖最后由 okokok 于 2008-2-16 20:22 编辑 ]

wangjay1980

所谓的漏洞利用无非就是利用它来下载木马，下载回来的木马一定要运行，它一运行，主防就会起到它该有的作用。

okokok

如果利用完整性保护阻止网马下载到系统中，岂不是更好，木马根本进不来，更谈不上运行了，禁止IE调用一些组件，就可以达到这个效果，即使没有打IE补丁。
不知道针对Real漏洞，完整性保护是否依然可以防御。

[ 本帖最后由 okokok 于 2008-2-16 20:36 编辑 ]

深红的雪

Real网马要防的话也比较容易。
最简单的方法就是升级real的版本了。

实际上，可以只禁止浏览器调用realplay.exe，不需要把整个realplay禁用

其网马的原理是，触发漏洞后，执行一段shellcode。
这段shellcode其实是相对独立的，与所利用漏洞本身无关，很多0day网马的shellcode甚至可以互换。而值得注意的是，这些shellcode都是利用urlmon.dll里的URLDownloadToFileA函数实现下载的，所以我们可以禁止浏览器加载urlmon.dll这个库文件，即可防止这类网马

[ 本帖最后由 rappar 于 2008-2-16 20:47 编辑 ]

蔓草

调用real的网页挂马确实非常多，但是有部分卡巴web反病毒会报，有些不会报的，有时甚至会把机子搞死机的

wangjay1980

完全没有必要设置什么，你只需要开着卡巴主防就行了。卡7的主防本身也不具备灵活的设置性

否则不如用专业的HIPS

[ 本帖最后由 wangjay1980 于 2008-2-16 21:01 编辑 ]

okokok

原帖由 rappar 于 2008-2-16 20:45 发表
Real网马要防的话也比较容易。
最简单的方法就是升级real的版本了。

实际上，可以只禁止浏览器调用realplay.exe，不需要把整个realplay禁用

其网马的原理是，触发漏洞后，执行一段shellcode。
这段shellcode ...

谢谢啊，太精彩了
收藏~

okokok

是啊，所以要利用完整性保护来阻止木马入侵。

xqiafl

卡巴的程序完整性保护,  我看了下子,  从新改变立场.  

关了吧.   形同虚拟的功能,   这个程序完整性保护, 就只对用户操作有提示.

对于病毒调用CMD. 根本没提示.

防病毒不再需要杀软,  HIPS.   丢掉你的杀软,  HIPS .

看我签名的贴子.   你将会看到一个历史上最简单, 体积最小.

也是最安全的软件策略.  且灵活!  不再为排除而烦恼, 不再为中毒而郁闷.

一台裸奔的电脑, 可以任意运行任何病毒.

[ 本帖最后由 xqiafl 于 2008-2-16 21:17 编辑 ]

xqiafl

我以前也是这样想的, 只是它这个功能,   是个鸡肋