诺顿为什么会误报netapi32.dll

qwerasdf123

文件说明：
netapi32.dll 名称为：Microsoft LAN Manager DLL，它是Windows网络应用程序接口，用于支持访问微软网络。
经过我们分析，该文件可以正常通过微软数字签名认证，从而证实了该杀软误报。
该杀软为什么会误报该文件呢？经过我们追踪分析，netapi32.dll曾经跟近年几个重要的漏洞有关，其中04年的Lsasrv.dll 漏洞，它是从系统Netapi32.dll中找到DsRolepEncryptPasswordStart函数，在第一个参数过长导致了溢出。由于 Netapi32.dll中的DsRoleUpgradeDownlevelServer函数是一个客户端函数，该漏洞只能在本机触发，所以黑客会修改 Netapi32.dll，将请求发送给本机的变量地址改为黑客制定指定的IP地址，从而远程利用该漏洞。此外还有其它的漏洞出现在 Netapi32.dll本身，由于杀软会检测该文件是否被修改利用，从而就造成了特征提取错误，误报了系统中原本正常的文件。

[ 本帖最后由 qwerasdf123 于 2007-5-20 12:23 编辑 ]

黯痕

好～～

野马

原来是比尔盖次给我们开的门啊！

都是为何删除了就不能开机呢？？？
盖次搞的陷阱？？？
还是国内有人将这种被修改了的 Netapi32.dll当作病毒样本提供给了诺顿？？？

nxw1983

这种技术分析帖子应该多发啊