金山卫士1.22拦截微软lnk漏洞测试。

360sandbox

回复
哇...故意拦截都出来了..啧啧
qwe12301 发表于 2010.7.28 23:38

是不是故意拦截这是老话题了，自己去爬帖子吧。

leobluelion

回复 76楼 360sandbox  的帖子


    没拦截好不好？文件根本没删？这是360的bug，回去好好看代码吧，我是好心告诉你

leobluelion

再发几张图片，是删除360后重启前和重启后对比图片

360sandbox

回复


    没拦截好不好？文件根本没删？这是360的bug，回去好好看代码吧，我是好心告诉你
leobluelion 发表于 2010.7.28 23:46

拦截这个漏洞的关键在于拦截LNK文件中的DLL被父进程加载，而不是要删除这个文件。
只要做到这个DLL的加载被拦截，就可以说是100%拦截了漏洞利用，你那样改了只是一个死LNK放在那里不删除而已。

从你的图中修改方式来看，你绝不可能绕过360的拦截

360sandbox

再发几张图片，是删除360后重启前和重启后对比图片
leobluelion 发表于 2010.7.28 23:47

这正是因为漏洞的利用已经被360的补丁给阻止了，由于金山毒霸是在360处理后才去处理这个LNK文件，如果被360阻止了，金山毒霸就得不到机会去处理这个漏洞，就这么简单。

这个漏洞的拦截与否关键是在于DLL的加载是否被拦截，而不是LNK文件是否被报警或删除，学学基础知识或者请教一下你们金山的程序员再来说话吧！

leobluelion

回复 84楼 360sandbox  的帖子


    告诉你，我机器就是不开任何杀软，就算点击了那个lnk，dll窗口都不弹出了的，而且同一个lnk，为什么，我没触发360的bug的时候，它就删除文件呢？好好回去查代码吧，肯定那里有bug了

360sandbox

回复


    告诉你，我机器就是不开任何杀软，就算点击了那个lnk，dll窗口都不弹出了的，而且同一个lnk ...
leobluelion 发表于 2010.7.28 23:50

这根本不是360的BUG,而是360认为那个DLL的路径是畸形或不存在的，而不弹框而已，漏洞是不能触发的，能不能触发，你自己拿个工具（比如论坛样本贴里提到的DEBUGVIEW看看就知道了），有工具输出调试信息才算是绕过了拦截，否则就是被拦截了。

我已经说得很清楚了。这个漏洞的拦截与否关键是在于DLL的加载是否被拦截，而不是LNK文件是否被报警或删除，学学基础知识或者请教一下你们金山的程序员再来说话吧！
什么叫BUG绕过拦截，象我的视频那样让DLL正常加载，输出调试信息才叫绕过拦截，让DLL正常加载，干掉金山才叫拦截。

360sandbox

回复


    告诉你，我机器就是不开任何杀软，就算点击了那个lnk，dll窗口都不弹出了的，而且同一个lnk ...
leobluelion 发表于 2010.7.28 23:50

你这句话正说出了你的这个所谓的BUG的问题所在：
”我机器就是不开任何杀软，就算点击了那个lnk，dll窗口都不弹出了的“

为什么不弹出了？因为这个LNK已经是个死LNK了，指向的DLL是无效的，他不能被漏洞利用，360为什么要拦截？为什么要学金山误报？

leobluelion

回复 87楼 360sandbox  的帖子


    认真看图片没有？我说的bug是同一文件，没触发bug的时候是删除的，触发后就不删除，同一文件，不是只我改的那个文件，而且我改的那个文件也肯定能调用，mj兄做人不要太自大，程序有bug是很正常的事情，360如果都是你这样的人，怪不得我去360论坛提意见的时候给喷得那么厉害，最后还不是乖乖承认自己的错误

leobluelion

回复 88楼 360sandbox  的帖子


    我就问一句，为什么触发bug前就删除，触发后就不删除，你解释的通的话我就认了