- UID
- 1
- 帖子
- 5881
- 精华
- 15
- 贡献
- 112
- 推广
- 0
- 有效BUG
- 0
- 注册时间
- 2005-2-20
|
17#
发表于 2007-8-1 15:46
| 只看该作者
今天才有空来看这个帖子
刚才简单研究了一下楼主提供的“测试浏览器是否能防网页木马的程序”,发现它是在浏览器线程外执行的程序,所以绕过了TheWorld的安全浏览
但我这里要强调的是,利用缓冲区漏洞,理论上可以做任何事
- 就像有人问的那样,为什么要直接执行进程,特征那么明显呢?直接修改注册表安装驱动,安装随系统启动的程序不行么?答案是当然行。
利用缓冲区溢出漏洞的代码,编写起来相对复杂,在里面加入很多功能是比较困难的,最简单的方法就是只用这代码执行一个另外的程序,那个程序就是正常编写的了,可以方便的做任何逻辑。
- 这也是所以世界之窗浏览器安全浏览功能加入了对执行进程的干预的原因,看似功能单一,但实际对绝大多数情况有效,尤其国内被挂马的网站,几乎清一色是执行进程。
这个测试程序并没有在浏览器线程中执行程序,它另启了一个新的线程在其中执行程序。实际上它执行程序的动作被世界之窗安全浏览侦测到了,但是直接放行了 - 因为我们目前知道的页面挂马程序,都是在浏览器线程(就是页面窗口线程)中执行的程序。
结论:
1. 这个测试不一定适用于实际情况
2. 如果有人知道哪个利用页面缓冲区漏洞执行的木马是在新的线程中执行起来,而不是在页面线程,请告诉我们
工作室不是安全专家,对于这类问题不能做更深入的探讨,如果我们有什么地方的认识是错误的或者片面的,请您不吝赐教 |
|