金山卫士1.22拦截微软lnk漏洞测试。

hegaoshun

LZ有才

dannes456

回复 99楼 leobluelion  的帖子
个人性格使然，他说他的，只要用户不受到实质性的威胁就行了
管它是什么方法拦截这个漏洞


   

leobluelion

回复 98楼 360sandbox  的帖子

你不要回避问题啦，我问你，同样的环境，同样的样本，bug触发前后，一个删除，一个不删除，是因为什么呢？还有告诉你，就算路径都正确（dll负责放在c盘根目录下），一样不弹框，或者你说我的机器特殊，正因为特殊才引发你们的bug，你总不能让我去自己写一个能弹框的dll吧？我是用户，不是你们的测试人员，而且我负责人的告诉你，我改的路径都是正常路径，没有一个特殊字符。

360sandbox

回复


    其实本来不想争，只是有点看不过眼罢了，mj一直吹嘘自己的拦截天下无敌，然后指着别人不能拦 ...
leobluelion 发表于 2010.7.29 00:07

这个漏洞的原理是不特别复杂，

但是让你挖掘，你能挖掘到吗？

让你分析原理，你能分析到吗？

让你拦截，你能拦截到吗？

让你找基于这个漏洞的特殊的攻击和利用方式，你能找的到吗？

满瓶水不晃，半瓶水打晃

这个漏洞你让漏洞界的前辈们来看也不敢说这就是一个简单的漏洞，你有什么资格说它简单。

leobluelion

回复 100楼 360sandbox  的帖子

你认为拦住了吗？我不这么认为，反正你就继续沉醉在自己天下老子第一的梦中吧
   

360sandbox

回复

你不要回避问题啦，我问你，同样的环境，同样的样本，bug触发前后，一个删除，一个不删除，是因为 ...
leobluelion 发表于 2010.7.29 00:11

我没跟你回避问题，我哪句话是回避问题了，我就告诉你，第一，这个漏洞我只要拦截住了，你的DLL不加载，那就是360完胜，弹不弹框那都是次要的，我既然都拦截住了我当然可以100%弹框，为什么不弹，是因为有些情况不想弹。

第二，你的机器都触发不了，就是说明DLL的路径不对，不管是特殊字符也好，DLL已经被夹在到内存不再加载也好，DLL文件不存在也好，这种情况当然不弹，你都没被漏洞攻击，弹什么弹？

leobluelion

回复 104楼 360sandbox  的帖子
切~~我知道他原理，我觉得简单有啥问题？而且我没拿到样本前就已经知道个大概，拿到样本（卡饭的样本）更知道它的危害性在那，它的原理的确很简单，不简单的只是它是一种新型传播途径，跟当年熊猫烧香一样

   

360sandbox

回复

你认为拦住了吗？我不这么认为，反正你就继续沉醉在自己天下老子第一的梦中吧
leobluelion 发表于 2010.7.29 00:13

你认为拦不住，可以，你要拿出拦不住的证据，我说金山拦不住，我就有DLL加载，打印调试信息的视频证据，有DLL加载，干掉金山的视频证据，你拿出什么证据证明你拦不住？你拿不出证据你在这里乱喷什么BUG？

难道就你自己弄个错误的测试方式裸机都不触发漏洞跑出来就说别人拦不住有BUG就是拦不住有BUG了？这不让人笑掉大牙吗？
这个DLL的例子也不难弄，论坛上也有不少人自己测试也打印出调试信息弹出框了，你自己不会测，还要说别人有BUG？

360sandbox

回复
切~~我知道他原理，我觉得简单有啥问题？而且我没拿到样本前就已经知道个大概，拿到样本（卡饭的样本 ...
leobluelion 发表于 2010.7.29 00:16

我这贴都已经说了，你以为知道个大概齐的原理，知道LNK加载DLL就算是知道了？正所谓是越是浅尝辄止，越是觉得自己什么都懂，越是觉得什么都简单，我就再问你一遍，

让你挖掘，你能挖掘到吗？

让你分析原理，你能分析到吗？

让你拦截，你能拦截到吗？

让你找基于这个漏洞的特殊的攻击和利用方式，你能找的到吗？

你敢不敢回答？

leobluelion

回复 106楼 360sandbox  的帖子

记得之前我更你讨论的时候就说过这漏洞没有百分百的方法，除非规定死，其次，你说的后面的已经是另外一个话题了，病毒已经给调用了，只是调用后给拦截，那是另外一回事，不是这个漏洞讨论的范围（你之前也这样说的）