解決Macfee8.0企業版緩衝區溢出保護導致某些軟體無法正常使用的

psac · 2004-09-11, 05:22 AM

今日mcafee發佈了8.0正式企業版，8.0版本有個很大的特色就是加了buffer overflow protection（緩衝區溢出保護），開啟這項功能有的時候會導致某些軟體無法正常使用，很多人由此就把mcafee的該功能給關閉了，其實沒有必要

下面通過介紹解決金山詞霸導致緩衝溢出報警的例子，給大家介紹一種可以使得他們共存的方法：

一般開啟金山詞霸（這裡以詞霸2005版為例）mcafee會出現如圖1的報警
圖1

http://www.starwcn.net/1088439643/12_7880.jpg

這個時候你可以如圖2開啟mcafee的控制台，雙按buffer overflow protection 開啟其內容，會出現圖3界面

圖2

http://www.starwcn.net/1088439643/12_7881.jpg

圖3

http://www.starwcn.net/1088439643/12_7882.jpg

在圖3界面中點擊ADD出現圖4界面

圖4

http://www.starwcn.net/1088439643/12_7883.jpg

大家仔細看報警內容圖1界面，表明該被攔截的行程是：C:\WINNT\explorer.exe::VirtualProtect bo:stack
或者也可以開啟日誌文件檢視
可知行程名稱為：explorer.exe API名稱為：VirtualProtect，按圖4填入點擊ok，回到圖3界面後點擊套用，下次就再開啟詞霸就不會有問題了

注意圖4中的行程名稱和API名稱不要填錯，要填得跟攔截到得一模一樣，否則不起作用，根據上述方法，相信大家可以舉一反三了

"緩衝區溢出保護"可以阻止利用緩衝區溢出在電腦上執行程式碼。此功能
會檢測到從堆疊中的資料開始執行的程式碼，並阻止該程式碼執行。但是，此功
能不阻止資料寫入堆疊。即使"緩衝區溢出保護"功能會阻止受到利用的代
碼執行，也不要指望受到利用的應用程式仍然會保持穩定。

VirusScan Enterprise 為大約 30 種最常用且最容易受利用的軟體套用程
序及微軟 Windows 服務提供緩衝區溢出保護。這些受保護的應用程式在一
個單獨的緩衝區溢出保護特徵碼文件中定義。此 DAT 文件在一般更新期間
隨病毒特徵碼文件一起下載。到本產品發佈之日為止，緩衝區溢出保護碼文
件中包括以下應用程式：

- dllhost.exe
- EventParser.exe
- excel.exe
- explorer.exe
- frameworkservice.exe
- ftp.exe
- iexplore.exe
- inetinfo.exe
- lsass.exe
- mapisp32.exe
- mplayer2.exe
- msaccess.exe
- msimn.exe
- mstask.exe
- msmsgs.exe
- NaimServ.exe
- Naprdmgr.exe
- Outlook.exe
- powerpnt.exe
- rpcss.exe
- services.exe
- sqlservr.exe
- SrvMon.exe
- svchost.exe
- visio32.exe
- VSEBOTest.exe
- w3wp.exe
- winword.exe
- wmplayer.exe
- wuauclt.exe

緩衝區溢出保護定義文件更新時，此列表也會進行相應的更改

psac · 2004-09-11, 06:10 AM

mcafee 防止3721 的對策解決...討論Q&A

Q:
被軟體元件服務3721，像我這樣的方法對它能不能防住
昨天下了一下極品五筆，很不幸，被打上了3721，仔細看了一下安裝程序，安裝最後會解壓出一個 ass....exe這個文件，我想這應該就是3721安裝程序了，我的想法就是能不能利用現有kv軟體，或者什麼小工具，只要發現硬碟上存在這個文件，就立即移除，防止它執行，我這樣的想法可不可行？

A:
現在3721的這個卸載工具就比較理想了
uninst3721.你說這種工具麼?清理3721的~還是不用元件服務3721的軟體,要用也先去除3721先~
Q:

不是不是，我的意思是說比如利用諾頓，只要發現有程序解壓或者產生那個文件，就報警立即移除。我想諾頓不一定有這個功能，問問其它軟體有這個功能嗎？

A:
加了增強病毒庫的麥咖啡還是 kav 就不讓帶3721 的程序執行
如用殺的...不行，殺毒軟體只負責殺那個主文件，其它的輔文件或註冊表不清理的....

Q:
如用avp3.5，升時用http://www.kaspersky.com.cn/Bases/ ，能夠防住cnnic的元件服務。但3721的沒試。等我裝個還原精靈再給大家作一回實驗小白鼠,我去試試。

加強增強病毒庫 http://downloads1.kaspersky-labs.com/updates_x，用這個位址昇級後開啟有FlashGet的資料夾直接報警。

A:
我以前就是用kaspersky時,長因為如此.....
所以不喜歡用增強庫。用了以後ccproxy肯定用不了。好多中文常駐記憶體程序都會被不明給ban掉。

Q:
聽說有個去除2721的修正檔，作用是把帶3721的安裝文件去除3721，去除之後再用安裝程序就沒有3721了，有的就傳個上來吧

A:
用過，就像類似脫殼的工具，它只對含有3721文件頭的exe有效，像我說的那樣，安裝程序自己在最後安裝後在temp目錄解壓出3721的安裝文件，像這樣的，是沒有辦法的。
mcafee av 8.0i 中增加 unwanted programs policy或建立on access scan的file block rule

http://www.imageuploads.net/upload3/14474.jpg

http://www.imageuploads.net/upload3/14475.jpg

Q:
上面的那個必須要指定目錄名嗎？因為產生的文件不一定就是在規範目錄，也許是個隨機目錄。

A:不需要, 可以用萬用字元: **\ass........exe

2004-09-11, 05:22 AM	#1
psac 榮譽會員榮譽勳章勳章總數19 UID - 3662 在線等級: 註冊日期: 2002-12-07 住址: 木柵市立動物園文章: 17381 精華: 2 現金: 5253 金幣資產: 33853 金幣	解決Macfee8.0企業版緩衝區溢出保護導致某些軟體無法正常使用的今日mcafee發佈了8.0正式企業版，8.0版本有個很大的特色就是加了buffer overflow protection（緩衝區溢出保護），開啟這項功能有的時候會導致某些軟體無法正常使用，很多人由此就把mcafee的該功能給關閉了，其實沒有必要下面通過介紹解決金山詞霸導致緩衝溢出報警的例子，給大家介紹一種可以使得他們共存的方法：一般開啟金山詞霸（這裡以詞霸2005版為例）mcafee會出現如圖1的報警圖1 這個時候你可以如圖2開啟mcafee的控制台，雙按buffer overflow protection 開啟其內容，會出現圖3界面圖2 圖3 在圖3界面中點擊ADD出現圖4界面圖4 大家仔細看報警內容圖1界面，表明該被攔截的行程是：C:\WINNT\explorer.exe::VirtualProtect bo:stack 或者也可以開啟日誌文件檢視可知行程名稱為：explorer.exe API名稱為：VirtualProtect，按圖4填入點擊ok，回到圖3界面後點擊套用，下次就再開啟詞霸就不會有問題了注意圖4中的行程名稱和API名稱不要填錯，要填得跟攔截到得一模一樣，否則不起作用，根據上述方法，相信大家可以舉一反三了 "緩衝區溢出保護"可以阻止利用緩衝區溢出在電腦上執行程式碼。此功能會檢測到從堆疊中的資料開始執行的程式碼，並阻止該程式碼執行。但是，此功能不阻止資料寫入堆疊。即使"緩衝區溢出保護"功能會阻止受到利用的代碼執行，也不要指望受到利用的應用程式仍然會保持穩定。 VirusScan Enterprise 為大約 30 種最常用且最容易受利用的軟體套用程序及微軟 Windows 服務提供緩衝區溢出保護。這些受保護的應用程式在一個單獨的緩衝區溢出保護特徵碼文件中定義。此 DAT 文件在一般更新期間隨病毒特徵碼文件一起下載。到本產品發佈之日為止，緩衝區溢出保護碼文件中包括以下應用程式： - dllhost.exe - EventParser.exe - excel.exe - explorer.exe - frameworkservice.exe - ftp.exe - iexplore.exe - inetinfo.exe - lsass.exe - mapisp32.exe - mplayer2.exe - msaccess.exe - msimn.exe - mstask.exe - msmsgs.exe - NaimServ.exe - Naprdmgr.exe - Outlook.exe - powerpnt.exe - rpcss.exe - services.exe - sqlservr.exe - SrvMon.exe - svchost.exe - visio32.exe - VSEBOTest.exe - w3wp.exe - winword.exe - wmplayer.exe - wuauclt.exe 緩衝區溢出保護定義文件更新時，此列表也會進行相應的更改

	送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次

2004-09-11, 06:10 AM	#2 (permalink)
psac 榮譽會員榮譽勳章勳章總數19 UID - 3662 在線等級: 註冊日期: 2002-12-07 住址: 木柵市立動物園文章: 17381 精華: 2 現金: 5253 金幣資產: 33853 金幣	mcafee 防止3721 的對策解決...討論Q&A Q: 被軟體元件服務3721，像我這樣的方法對它能不能防住昨天下了一下極品五筆，很不幸，被打上了3721，仔細看了一下安裝程序，安裝最後會解壓出一個 ass....exe這個文件，我想這應該就是3721安裝程序了，我的想法就是能不能利用現有kv軟體，或者什麼小工具，只要發現硬碟上存在這個文件，就立即移除，防止它執行，我這樣的想法可不可行？ A: 現在3721的這個卸載工具就比較理想了 uninst3721.你說這種工具麼?清理3721的~還是不用元件服務3721的軟體,要用也先去除3721先~ Q: 不是不是，我的意思是說比如利用諾頓，只要發現有程序解壓或者產生那個文件，就報警立即移除。我想諾頓不一定有這個功能，問問其它軟體有這個功能嗎？ A: 加了增強病毒庫的麥咖啡還是 kav 就不讓帶3721 的程序執行如用殺的...不行，殺毒軟體只負責殺那個主文件，其它的輔文件或註冊表不清理的.... Q: 如用avp3.5，升時用http://www.kaspersky.com.cn/Bases/ ，能夠防住cnnic的元件服務。但3721的沒試。等我裝個還原精靈再給大家作一回實驗小白鼠,我去試試。加強增強病毒庫 http://downloads1.kaspersky-labs.com/updates_x，用這個位址昇級後開啟有FlashGet的資料夾直接報警。 A: 我以前就是用kaspersky時,長因為如此..... 所以不喜歡用增強庫。用了以後ccproxy肯定用不了。好多中文常駐記憶體程序都會被不明給ban掉。 Q: 聽說有個去除2721的修正檔，作用是把帶3721的安裝文件去除3721，去除之後再用安裝程序就沒有3721了，有的就傳個上來吧 A: 用過，就像類似脫殼的工具，它只對含有3721文件頭的exe有效，像我說的那樣，安裝程序自己在最後安裝後在temp目錄解壓出3721的安裝文件，像這樣的，是沒有辦法的。 mcafee av 8.0i 中增加 unwanted programs policy或建立on access scan的file block rule Q: 上面的那個必須要指定目錄名嗎？因為產生的文件不一定就是在規範目錄，也許是個隨機目錄。 A:不需要, 可以用萬用字元: **\ass........exe

	送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次

Google 提供的廣告