Sysinternals是以前常注意的站,filemon和regmon都是早期偷看別人程式行為的方法之一。前陣子木馬的事情也是在這裡看到Mark討論Sony XCP後拿了rootkitrevealer才發現。今天去看到兩個有意思的題目,分別是Inside the WMF Backdoor和The Antispyware Conspiracy:
- Inside the WMF Backdoor: 我原本一直以為所謂的WMF後門是類似stack overflow的攻擊方式,原來是WMF規格及實作上支援Windows的SetAbortProc,Windows在條件成立時會呼叫WMF內某段程式(巨集嗎?)。本意可能是要提供中斷列印等機制,現在就被視為安全漏洞了。難怪前陣子在U公司寄內含chm的檔案被擋掉,他們的MIS聲稱CHM是危險的檔案,連BMP和WMF也在黑名單上。
- The Antispyware Conspiracy: 一直以來有種說法,防毒廠商暗中贊助人製作病毒。作者並不相信這種說法,不過就掃瞄及清除惡意軟體的現況來看,讓作者不得不懷疑二線業者暗中做了些見不得人的事。作者用沒有更新到12月(2005年吧?)的IE連到某網站就被感染了,等感染完成後有八隻病毒八隻間諜軟體再加七個廣告軟體,連關機都要關五分鐘。最有意思的是感染過程中就跳出掃描程式訊息,引誘使用者安裝SpySheriff掃描軟體,等列出一堆危險後再讓使用者付錢註冊正式版來清除。作者看到另外兩個與SpySheriff不同名但似乎有關聯的掃描軟體Spyware Cleaner及Spyware Stormer,連乾淨新裝的XP上都會掃出好幾個危險,似乎在恐嚇使用者。以後在選擇及下載工具上要更謹慎了。