史萊姆論壇

史萊姆論壇 (http://forum.slime.com.tw/)
-   應用軟體使用技術文件 (http://forum.slime.com.tw/f130.html)
-   -   解決Macfee8.0企業版緩衝區溢出保護導致某些軟體無法正常使用的 (http://forum.slime.com.tw/thread124444.html)

psac 2004-09-11 05:22 AM
解決Macfee8.0企業版緩衝區溢出保護導致某些軟體無法正常使用的
 
今日mcafee發佈了8.0正式企業版,8.0版本有個很大的特色就是加了buffer overflow protection(緩衝區溢出保護),開啟這項功能有的時候會導致某些軟體無法正常使用,很多人由此就把mcafee的該功能給關閉了,其實沒有必要

下面通過介紹解決金山詞霸導致緩衝溢出報警的例子,給大家介紹一種可以使得他們共存的方法:

一般開啟金山詞霸(這裡以詞霸2005版為例)mcafee會出現如圖1的報警
圖1
http://www.starwcn.net/1088439643/12_7880.jpg

這個時候你可以如圖2開啟mcafee的控制台,雙按buffer overflow protection 開啟其內容,會出現圖3界面

圖2
http://www.starwcn.net/1088439643/12_7881.jpg



圖3
http://www.starwcn.net/1088439643/12_7882.jpg

在圖3界面中點擊ADD出現圖4界面


圖4

http://www.starwcn.net/1088439643/12_7883.jpg

大家仔細看報警內容圖1界面,表明該被攔截的行程是:C:\WINNT\explorer.exe::VirtualProtect bo:stack
或者也可以開啟日誌文件檢視
可知行程名稱為:explorer.exe API名稱為:VirtualProtect,按圖4填入點擊ok,回到圖3界面後點擊套用,下次就再開啟詞霸就不會有問題了

注意圖4中的行程名稱和API名稱不要填錯,要填得跟攔截到得一模一樣,否則不起作用,根據上述方法,相信大家可以舉一反三了

"緩衝區溢出保護"可以阻止利用緩衝區溢出在電腦上執行程式碼。此功能
會檢測到從堆疊中的資料開始執行的程式碼,並阻止該程式碼執行。但是,此功
能不阻止資料寫入堆疊。即使"緩衝區溢出保護"功能會阻止受到利用的代
碼執行,也不要指望受到利用的應用程式仍然會保持穩定。

VirusScan Enterprise 為大約 30 種最常用且最容易受利用的軟體套用程
序及微軟 Windows 服務提供緩衝區溢出保護。這些受保護的應用程式在一
個單獨的緩衝區溢出保護特徵碼文件中定義。此 DAT 文件在一般更新期間
隨病毒特徵碼文件一起下載。到本產品發佈之日為止,緩衝區溢出保護碼文
件中包括以下應用程式:

- dllhost.exe
- EventParser.exe
- excel.exe
- explorer.exe
- frameworkservice.exe
- ftp.exe
- iexplore.exe
- inetinfo.exe
- lsass.exe
- mapisp32.exe
- mplayer2.exe
- msaccess.exe
- msimn.exe
- mstask.exe
- msmsgs.exe
- NaimServ.exe
- Naprdmgr.exe
- Outlook.exe
- powerpnt.exe
- rpcss.exe
- services.exe
- sqlservr.exe
- SrvMon.exe
- svchost.exe
- visio32.exe
- VSEBOTest.exe
- w3wp.exe
- winword.exe
- wmplayer.exe
- wuauclt.exe

緩衝區溢出保護定義文件更新時,此列表也會進行相應的更改

psac 2004-09-11 06:10 AM
mcafee 防止3721 的對策解決...討論Q&A

Q:
被軟體元件服務3721,像我這樣的方法對它能不能防住
昨天下了一下極品五筆,很不幸,被打上了3721,仔細看了一下安裝程序,安裝最後會解壓出一個 ass....exe這個文件,我想這應該就是3721安裝程序了,我的想法就是能不能利用現有kv軟體,或者什麼小工具,只要發現硬碟上存在這個文件,就立即移除,防止它執行,我這樣的想法可不可行?

A:
現在3721的這個卸載工具就比較理想了
uninst3721.你說這種工具麼?清理3721的~還是不用元件服務3721的軟體,要用也先去除3721先~
Q:

不是不是,我的意思是說比如利用諾頓,只要發現有程序解壓或者產生那個文件,就報警立即移除。我想諾頓不一定有這個功能,問問其它軟體有這個功能嗎?

A:
加了增強病毒庫的 麥咖啡 還是 kav 就不讓帶3721 的程序執行
如用殺的...不行,殺毒軟體只負責殺那個主文件,其它的輔文件或註冊表不清理的....

Q:
如用avp3.5,升時用http://www.kaspersky.com.cn/Bases/ ,能夠防住cnnic的元件服務。但3721的沒試。等我裝個還原精靈再給大家作一回實驗小白鼠,我去試試。

加強增強病毒庫 http://downloads1.kaspersky-labs.com/updates_x,用這個位址昇級後開啟有FlashGet的資料夾直接報警。

A:
我以前就是用kaspersky時,長因為如此.....
所以不喜歡用增強庫。用了以後ccproxy肯定用不了。好多中文常駐記憶體程序都會被不明給ban掉。


Q:
聽說有個去除2721的修正檔,作用是把帶3721的安裝文件去除3721,去除之後再用安裝程序就沒有3721了,有的就傳個上來吧



A:
用過,就像類似脫殼的工具,它只對含有3721文件頭的exe有效,像我說的那樣,安裝程序自己在最後安裝後在temp目錄解壓出3721的安裝文件,像這樣的,是沒有辦法的。
mcafee av 8.0i 中增加 unwanted programs policy或建立on access scan的file block rule


http://www.imageuploads.net/upload3/14474.jpg

http://www.imageuploads.net/upload3/14475.jpg

Q:
上面的那個必須要指定目錄名嗎?因為產生的文件不一定就是在規範目錄,也許是個隨機目錄。


A:不需要, 可以用萬用字元: **\ass........exe


所有時間均為台北時間。現在的時間是 07:13 PM

Powered by vBulletin® 版本 3.6.8
版權所有 ©2000 - 2024, Jelsoft Enterprises Ltd.

『服務條款』

* 有問題不知道該怎麼解決嗎?請聯絡本站的系統管理員 *


SEO by vBSEO 3.6.1