楼主: 1970487511
收起左侧

[安全区] 【原创工具区】投诉ZSsafe的软件存在格盘行为

 关闭 [复制链接]
Tarchia
发表于 2019-8-21 11:40:02 | 显示全部楼层
ZSsafe 发表于 2019-8-21 11:36
45楼和47楼均为同一版本,也就是1.2.6.8版本,该版本的确包含了那个有问题的驱动模块

好的,因前文一直以“文件版本”与“产品版本”,也就是1.1.6.8代指此版本软件,所以为方便理解,下文依旧以1.1.6.8来指代此版本软件。
ZSsafe
发表于 2019-8-21 11:40:44 | 显示全部楼层
Tarchia 发表于 2019-8-21 11:40
好的,因前文一直以“文件版本”与“产品版本”,也就是1.1.6.8代指此版本软件,所以为方便理解,下文依 ...

嗯嗯,好的
Tarchia
发表于 2019-8-21 11:43:20 | 显示全部楼层
@ZSsafe @1970487511 询问暂时结束,此贴将临时关闭,开启后将继续投诉流程。
Tarchia
发表于 2019-8-21 17:55:11 | 显示全部楼层
@1970487511 @ZSsafe 对于投诉内容,两位是否还有其他补充?若无补充,将适时作出裁决。
1970487511
 楼主| 发表于 2019-8-21 18:34:49 | 显示全部楼层
Tarchia 发表于 2019-8-21 17:55
@1970487511 @ZSsafe 对于投诉内容,两位是否还有其他补充?若无补充,将适时作出裁决。

我没有了
ZSsafe
发表于 2019-8-21 20:12:57 | 显示全部楼层
Tarchia 发表于 2019-8-21 17:55
@1970487511 @ZSsafe 对于投诉内容,两位是否还有其他补充?若无补充,将适时作出裁决。

暂时没有,不过前面出现的格盘情况我个人表示真的并不知情,这的的确确是属于那个有问题的驱动模块的BUG,还请SWH明察,帮我和我的智速安全助手助手讨个清白,还论坛一个大气谦和的氛围!
此次事件我将引以为戒,在选用第三方模块时将更加严格,杜绝二次出现像此次事件!
记录微笑
发表于 2019-8-21 22:41:32 | 显示全部楼层
我在此补充一下我发现的一些证据。
首先我想说一下易语言中的模块概念。各位熟悉易语言的同学都知道,易语言中的模块大大方便了我们的开发,但是也带来很多问题。最大的问题就是看不到源码,无法确认模块是否有bug。
首先,我们来看一下zssafe在17楼发的驱动例程。
%AW)EK2`%)SAK73I_[0[PQ5.png
让我们注意下这个打圈的命令。

我们反编译这个用到的模块,找到这个子程序:
2019-08-21_215956.png

可以看到,调用这个子程序之后,会先判断传递的第三个参数,即是否格盘是否为真,若为真则会将  “_程序集变量15018AF7”赋值66
然后往下看,可以看到这个子程序最后调用了另一个子程序:
2019-08-21_220238.png

我们来看这个子程序:
2019-08-21_220838.png
如图,这个子程序会先判断参数2,和格盘无关,忽略这一步。
随后,他会判断“_局部变量4”的值,若不等于66,则进入下面格盘前的最后一次判断。但是这个局部变量并没有任何赋值语句给他赋值,所以不管怎样他都不会等于66,所以一定会进入下面格盘前最后判断。
然后,后面一个语句会判断系统是否为64位,若是则会跳过下面的格盘代码。这也就是64位系统没触发格盘的原因。
最后一步寻找文本的判断比较复杂,我把他提取出来模拟运行了一下,结果如下:
2019-08-21_223014.png
可以看到,在没有用任何调试工具的情况下会返回结果“假”
但是这个判断语句只有当返回结果为空时才会跳过下面的格盘代码执行,而返回的确实文本型的“假”,所以会直接执行下面的格盘代码。
到这里,格盘在所难免。


综上,分析结果是,这个模块的作者错误地没有将本该赋值的变量赋值,导致多次判断都无效。而最后一道屏障由于作者错误地理解返回结果,认为没有找到相应文件会返回空文本,而实际会返回一个“假”,导致最后一道屏障失效,所以触发格盘代码。
而因为代码一开始就屏蔽了64位系统,所以64位系统不会触发。

所以,本人认为这个格盘行为是由模块bug造成,和zssafe本人关系不大。请举报处理专员在裁决时充分考虑这一点,谢谢!
1970487511
 楼主| 发表于 2019-8-22 09:51:14 | 显示全部楼层
记录微笑 发表于 2019-8-21 22:41
我在此补充一下我发现的一些证据。
首先我想说一下易语言中的模块概念。各位熟悉易语言的同学都知道,易语 ...

并无你所说的情况,我提供一下证据
3IZ$L[0(6`PJAIP2LQN9BC4.png
CGWLH_~)PT(52897BNG4D~O.png
_LIJ%_CNP6VYL1J4QW_4)6D.png
DX%OYVHI0PFWNQ6K_4OS7DD.png
1970487511
 楼主| 发表于 2019-8-22 09:58:11 | 显示全部楼层
1970487511 发表于 2019-8-22 09:51
并无你所说的情况,我提供一下证据

补充: VF10~_O0GR798WGR2Q{Z1JE.png
Tarchia
发表于 2019-8-22 10:09:53 | 显示全部楼层
1970487511 发表于 2019-8-22 09:51
并无你所说的情况,我提供一下证据

88、89楼图片无法显示,请重新上传。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-4 01:25 , Processed in 0.100626 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表