360杀毒神经错乱大测试

显示全部楼层 · 发表于 2010-11-12 19:51:33

回复 10楼 360sandbox 的帖子

reginfo.sys
ch00001.sys确实太容易被利用了已发现的问题也太多了

显示全部楼层 · 发表于 2010-11-12 19:56:10

dl123100 发表于 2010-11-12 19:51
回复 10楼 360sandbox 的帖子

reginfo.sys

reginfo.sys这么赤果果地userbuffer让人情何以堪啊

switch ( v21 )
{
   case 0:
      if ( v20 <= 0x200 )
      {
      if ( (unsigned int)v8 >= 4 )
      {
         memcpy(v9, v7, v20);
         *(_DWORD *)Irp->UserBuffer = sub_11EB0((const WCHAR *)v9);
      }
而且貌似REGINFO可以操作任意注册表

显示全部楼层 · 发表于 2010-11-12 20:03:09

回复 8楼 360sandbox 的帖子

1.真搞不懂BD为什么这样报？（什么加权偶也不懂）难道这是启发的错，压缩包内高启发？

2.原来天琊有漏洞都能报出来，QVM这东西太吓人了........

3.好吧，相信你的猜测，这个太技术的我也不太懂。

补充：这些不管是什么理由误报了，都能算作是误报，我只能建议你们以后可以注意这些地方，或者会找到什么方法解决这些软件方面所产生的误报。

显示全部楼层 · 发表于 2010-11-12 20:04:01

回复 12楼 360sandbox 的帖子

chenhui早期的那些驱动基本都没考虑过校验参数包括最近看雪有人放出的那个有近20个明显bug的驱动
不能因为有bug、可以被利用就去报毒当然报了之后是否修正就是另一回事了

显示全部楼层 · 发表于 2010-11-12 20:04:57

。。。原来报毒还有这种说法

显示全部楼层 · 发表于 2010-11-12 20:06:42

回复 9楼你想怎样的帖子

没有啊，不要说我耸动好不好，只是我用词比较夸张，没有鄙视360的意思，吃饱了撑的玩几下

显示全部楼层 · 发表于 2010-11-12 20:08:42

dl123100 发表于 2010-11-12 20:04
回复 12楼 360sandbox 的帖子

chenhui早期的那些驱动基本都没考虑过校验参数包括最近看雪有人放出的那个有 ...

看了看云端是定为高风险的，没有直接报毒，可能QVM扩大化战果了。。

显示全部楼层 · 发表于 2010-11-12 20:11:02

回复 17楼 360sandbox 的帖子

是啊，有漏洞就报个有漏洞撒，报个毒或者高风险，小白怎么知道是什么
或者报个此文件容易被利用

显示全部楼层 · 发表于 2010-11-12 20:11:08

回复 16楼 zzirong 的帖子

好了 , 老兄 . 我也收回我的话, 不好意思.

其实现在QVM很需要用户实践测试 , 这样, 产品才能成熟.

显示全部楼层 · 发表于 2010-11-12 20:13:19

回复 19楼你想怎样的帖子

如果要尽情测试QVM，还是要能把BD引擎的勾勾取消掉才好，BD挡在前面，QVM就不好测了

[讨论] 360杀毒神经错乱大测试

评分