Re: [Log ] svchost.exe的問題..

看板AntiVirus作者kukulcan (kkc)時間18年前 (2006/08/15 00:33)推噓2(2推 0噓 3→)

留言5則, 4人參與討論串2/2 (看更多)

※ 引述《netneto ( )》之銘言： : 請問一下哪裡有關於這個病毒入侵方法的介紹... : 我哥說用防火牆就不會被入侵... 是的，只要用防火牆擋住 Port 135-139 與 Port 445，就可以完全防阻此攻擊。 : 然後又在網路上看到有人說有用路由器就不會被入侵.... : 不是很懂為什麼... 我想應該是把路由器與防火牆之間的關係弄混了.... : 所以想了解一下這個病毒的入境方式 Well....我想想看該怎麼解釋........... 各位如果有常常"注視"系統內運作的程式的話，應該會發現系統內會執行若干個 svchost.exe 其中有一個 svchost.exe 會提供所謂的 RPC (Remote Procedure Call) 詳細解釋可於此 http://www.cs.cf.ac.uk/Dave/C/node33.htm 簡單的說，就是你電腦上面執行的 svchost.exe 會提供某些服務給網路上的使用者來呼叫使用。這是作業系統設計上的一種美意，在某些情況下，有些網路服務必須透過此機制來達成。所以說，每一台 Windows XP 在出廠時，就設定好有一個 svchost.exe 會接受來自 Port 445 的服務要求，並進行相關的處置。但是所謂病從口入，有了這個服務存在後，等於是系統上的一個開口，如果存在弱點，就很容易變成入侵的端點。事實上也是如此的，我們從攻擊程式的說明來看： This module exploits a stack overflow in the NetApi32 NetpIsRemote() function using the NetpwPathCanonicalize RPC call in the Server Service. It is likely that other RPC calls could be used to exploit this service. 這個svchost.exe 在處理來自網路的要求時，會進行一些動作，其中有一個動作是經由使用 netapi32.dll 當中的 NetpIsRemote來達成的，而NetpIsRemote 又會呼叫 NetpwPathCanonicalize 來進行某些字串的串接處理。有經驗的人可能知道，字串串接很容易發生問題，只要字串長度過長，或是長度計算錯誤，很容易就可以造成 stack buffer overflow。所以，這個攻擊程式是經由傳送一個『精心設計』的資料給 svchost.exe 當 svchost.exe 經過一系列處理程序，來到 NetpwPathCanonicalize時，該『精心設計』的資料會發輝作用，觸發svchost.exe進入一個不穩定的狀態。如果攻擊者可以成功利用該『不穩定狀態』，就可以藉此去執行任何他想要做的事情；如果攻擊者無法控制該狀態，則程式就會當掉，終止服務。所以該漏洞可能會造成『攻擊者遠端控制電腦』，也可能造成『Denied of Service』。我想由於該攻擊程式主要是在歐美語系系統上開發，故攻擊者主要是利用英文語系上面的弱點，至於在中文/繁體中文系統上的系統控制就有問題。所以當遭受攻擊時，惡意程式不會執行，反而是 svchost.exe一直當。這個跟 MS04-011 有異曲同工之妙阿～>_<～。 -- 以上言論純屬為了賺p幣之行為，本人不保證其技術正確性 XD -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 219.68.32.56

→

olliekr

08/15 01:14, , 1^F

08/15 01:14, 1^F

推

inva

08/15 03:18, , 2^F

08/15 03:18, 2^F

推

netneto

08/15 14:55, , 3^F

08/15 14:55, 3^F