【技术分析】“奇诺反病毒软件”的几个漏洞（最新2766版未修复任何问题）

显示全部楼层 · 发表于 2010-9-4 21:24:39

回复 28楼 chenoe 的帖子

请到原博客致谢作者！
另外，这些问题，卡饭的一些人也早已提过了很多次了。非要等到公开利用代码出来，是不是有点迟了？

显示全部楼层 · 发表于 2010-9-4 21:26:44

回复 27楼 jefffire 的帖子

第一个驱动采用技巧最初来源于IceSword和360粉碎机，只是没校验调用者和传入的路径。
第二个驱动确实比较不稳定，而且存在的bug比漏洞更危险。

显示全部楼层 · 发表于 2010-9-4 21:28:09

回复

第一个驱动采用技巧最初来源于IceSword和360粉碎机，只是没校验调用者和传入的路径。
...
dl123100 发表于 2010.9.4 21:26

调用前检查这是常识吧。。。哎。。。。

显示全部楼层 · 发表于 2010-9-4 21:31:32

回复 33楼 jefffire 的帖子

这里的校验相对判断标准不好找，类似的问题很多ark或者安软提供的工具都存在。

显示全部楼层 · 发表于 2010-9-4 21:33:58

回复 34楼 dl123100 的帖子

有啥好点的办法不？

显示全部楼层 · 发表于 2010-9-4 21:36:18

我感到一阵凉意

显示全部楼层 · 发表于 2010-9-4 21:37:14

回复 35楼 IllusionWing 的帖子

完全消除比较难，一般还是验证用户权限防止被user利用和通信加密吧。

显示全部楼层 · 发表于 2010-9-4 21:39:28

回复 37楼 dl123100 的帖子

个人感觉hook NtOpenProcess这类东西做强点的加密的话性能岂不是会降得很厉害。。

显示全部楼层 · 发表于 2010-9-4 21:41:54

回复 38楼 IllusionWing 的帖子

是DeviceIoControl与驱动交互时加密

显示全部楼层 · 发表于 2010-9-4 21:42:48

这种东西更要命的是习惯和态度
对基本流程没概念，基本的编程习惯也不好，态度又有问题
这就不单是补一两个洞的事情了

[分享] 【技术分析】“奇诺反病毒软件”的几个漏洞（最新2766版未修复任何问题）