fl1314

高手如云啊

phoenix

今天才有空来看这个帖子

刚才简单研究了一下楼主提供的“测试浏览器是否能防网页木马的程序”，发现它是在浏览器线程外执行的程序，所以绕过了TheWorld的安全浏览

但我这里要强调的是，利用缓冲区漏洞，理论上可以做任何事
  － 就像有人问的那样，为什么要直接执行进程，特征那么明显呢？直接修改注册表安装驱动，安装随系统启动的程序不行么？答案是当然行。

利用缓冲区溢出漏洞的代码，编写起来相对复杂，在里面加入很多功能是比较困难的，最简单的方法就是只用这代码执行一个另外的程序，那个程序就是正常编写的了，可以方便的做任何逻辑。
  － 这也是所以世界之窗浏览器安全浏览功能加入了对执行进程的干预的原因，看似功能单一，但实际对绝大多数情况有效，尤其国内被挂马的网站，几乎清一色是执行进程。

这个测试程序并没有在浏览器线程中执行程序，它另启了一个新的线程在其中执行程序。实际上它执行程序的动作被世界之窗安全浏览侦测到了，但是直接放行了 － 因为我们目前知道的页面挂马程序，都是在浏览器线程（就是页面窗口线程）中执行的程序。

结论：
1. 这个测试不一定适用于实际情况
2. 如果有人知道哪个利用页面缓冲区漏洞执行的木马是在新的线程中执行起来，而不是在页面线程，请告诉我们

工作室不是安全专家，对于这类问题不能做更深入的探讨，如果我们有什么地方的认识是错误的或者片面的，请您不吝赐教

mmnm

杨修说：食之无肉，弃之有味。

playgon

谢谢管理员的解答，安全浏览现在已经很实用了。

Messiah

简单的说，TheWorld2的安全浏览，目前仅仅能防止两种操作：
一个是未经过用户准许而启动的进程
另外一个是防止用户的输入被截取

但病毒木马的入侵是多种多样的，TW不会也不可能完全将其拦截掉，现在的这些基本功能只能是有限的保护用户
为了安全，还是要经常的更新系统漏洞补丁，防病毒和查杀木马的软件也是不可少的

hynos

个人认为这个功能也就是能防止EXE运行，对别的木马、病毒没啥作用。比如上网时经常遇到的jpg病毒。

evilcat

不知道你有没有试过别的浏览器，FX,opera都过不了
我突发奇想测试的记事本，他也说中标了。
自己现在只有EQ，不能准确的知道这测试到底做了什么，不过觉得这测有点问题。
别拿这当真，我个人觉得这测试有点广告的嫌疑。

[ 本帖最后由 evilcat 于 2007-6-23 22:58 编辑 ]

playgon

不过我已经向IE卫士的作者反应情况了，希望后续版本也能支持TW2，毕竟现在通过网上银行和网上炒股还有玩网络游戏的人多了，谁都不希望被木马盗去资料，其中浏览网页中毒又是中毒可能最大的。

playgon

原帖由 michael185 于 2007-6-23 21:26 发表 http://bbs.ioage.com/images/common/back.gif
好的上网习惯是最重要的，我裸机，我没事，我先TW不是选安全，当然我不是说做的不好，我只是说那只能是个辅助作用，个人的使用才是最大的问题

你上网的面很窄吧，如果要你搜一些资料，上网的面再多一些，嘿嘿，不好说。

playgon

2007-06-23 21:44:24        安装全局钩子
操作:允许
进程路径:C:\Documents and Settings\LXH\Local Settings\Temp\IEKavass21579.exe
文件路径:C:\Program Files\Rising\KakaToolBar\ieprot.dll
2007-06-23 21:44:16        运行应用程序
操作:允许
进程路径D:\TheWorld 2.0\TheWorld.exe
文件路径:C:\Documents and Settings\LXH\Local Settings\Temp\IEKavass21579.exe
2007-06-23 21:43:57        创建远程线程
操作:允许
进程路径:C:\Documents and Settings\LXH\Local Settings\Temp\Rar$EX03.422\IE卫士效果检验.exe
目标进程D:\TheWorld 2.0\TheWorld.exe
2007-06-23 21:43:56        修改其它进程内存
操作:允许
进程路径:C:\Documents and Settings\LXH\Local Settings\Temp\Rar$EX03.422\IE卫士效果检验.exe
目标进程D:\TheWorld 2.0\TheWorld.exe
2007-06-23 21:43:54        修改其它进程内存
操作:允许
进程路径:C:\Documents and Settings\LXH\Local Settings\Temp\Rar$EX03.422\IE卫士效果检验.exe
目标进程D:\TheWorld 2.0\TheWorld.exe
2007-06-23 21:43:47        修改其它进程内存
操作:允许
进程路径:C:\Documents and Settings\LXH\Local Settings\Temp\Rar$EX03.422\IE卫士效果检验.exe
目标进程D:\TheWorld 2.0\TheWorld.exe
2007-06-23 21:43:33        修改其它进程内存
操作:允许
进程路径:C:\Documents and Settings\LXH\Local Settings\Temp\Rar$EX03.422\IE卫士效果检验.exe
目标进程D:\TheWorld 2.0\TheWorld.exe
2007-06-23 21:42:46        安装全局钩子
操作:允许
进程路径:C:\Documents and Settings\LXH\Local Settings\Temp\Rar$EX03.422\IE卫士效果检验.exe
文件路径:C:\Program Files\Rising\KakaToolBar\ieprot.dll
2007-06-23 21:42:15        运行应用程序
操作:允许
进程路径:C:\Program Files\WinRAR\WinRAR.exe
文件路径:C:\Documents and Settings\LXH\Local Settings\Temp\Rar$EX03.422\IE卫士效果检验.exe
2007-06-23 21:41:41        安装全局钩子
操作:允许
进程路径:C:\Program Files\WinRAR\WinRAR.exe
文件路径:C:\Program Files\Rising\KakaToolBar\ieprot.dll
2007-06-23 21:41:10        运行应用程序
操作:允许
进程路径:C:\WINDOWS\Explorer.EXE
文件路径:C:\Program Files\WinRAR\WinRAR.exe
2007-06-23 21:40:00        文件保护已经开启.

2007-06-23 21:40:00        注册表保护已经开启.

2007-06-23 21:40:00        应用程序保护已经开启.

这是我直接打开压缩文件中的IE卫士测试工具显示信息。用EQ监控的，高手可以分析一下。

[ 本帖最后由 playgon 于 2007-6-23 21:41 编辑 ]

michael185

好的上网习惯是最重要的，我裸机，我没事，我先TW不是选安全，当然我不是说做的不好，我只是说那只能是个辅助作用，个人的使用才是最大的问题

playgon

我提到的TW2并不能完全防护指的就是网页执行程序，也就是现在TW2称为安全浏览的部分，并不是指的像Aycox超版说的，连下载的软件都保护了。
Aycox超版有时间可以下载IE卫士看一下。
现在情况是，使用TW2浏览含病毒的网页，也可能中毒。
正如Evilcat兄所记录的。其实并不是让TW2拥有HIPS功能，这是不现实的，毕竟TW2的任务是浏览网页。
但是如果能真正有效的防止病毒网页种植木马我想应该更好。
现在使用网银和网络炒股的人越来越多，浏览安全日益重要，毕竟，下载软件到知名软件站点，一般不会有病毒，但浏览就复杂一些了，不能只去搜狐、网易之类的。