※ 引述《netneto ( )》之铭言： : 请问一下哪里有关於这个病毒入侵方法的介绍... : 我哥说用防火墙就不会被入侵... 是的，只要用防火墙挡住 Port 135-139 与 Port 445，就可以完全防阻 此攻击。 : 然後又在网路上看到有人说有用路由器就不会被入侵.... : 不是很懂为什麽... 我想应该是把路由器与防火墙之间的关系弄混了.... : 所以想了解一下这个病毒的入境方式 Well....我想想看该怎麽解释........... 各位如果有常常"注视"系统内运作的程式的话，应该会发现 系统内会执行若干个 svchost.exe 其中有一个 svchost.exe 会提供所谓的 RPC (Remote Procedure Call) 详细解释可於此 http://www.cs.cf.ac.uk/Dave/C/node33.htm 简单的说，就是你电脑上面执行的 svchost.exe 会提供 某些服务给网路上 的使用者来呼叫使用。这是作业系统设计上的一种美意，在某些情况下， 有些网路服务必须透过此机制来达成。 所以说，每一台 Windows XP 在出厂时，就设定好有一个 svchost.exe 会接受来自 Port 445 的 服务要求，并进行相关的处置。 但是所谓 病从口入，有了这个服务存在後，等於是系统上的一个开口， 如果存在弱点，就很容易变成入侵的端点。 事实上也是如此的，我们从 攻击程式的说明来看： This module exploits a stack overflow in the NetApi32 NetpIsRemote() function using the NetpwPathCanonicalize RPC call in the Server Service. It is likely that other RPC calls could be used to exploit this service. 这个svchost.exe 在处理来自网路的要求时，会进行一些动作，其中有一个动作 是经由使用 netapi32.dll 当中的 NetpIsRemote来达成的，而NetpIsRemote 又会呼叫 NetpwPathCanonicalize 来进行某些字串的串接处理。 有经验的人可能知道，字串串接很容易发生问题，只要字串长度过长， 或是长度计算错误，很容易就可以造成 stack buffer overflow。 所以，这个攻击程式是经由传送一个『精心设计』的资料给 svchost.exe 当 svchost.exe 经过一系列处理程序，来到 NetpwPathCanonicalize时， 该 『精心设计』的资料会发辉作用，触发svchost.exe进入一个不稳定的状态。 如果攻击者可以成功利用该『不稳定状态』，就可以藉此去执行任何他想要做 的事情；如果攻击者无法控制该状态，则程式就会当掉，终止服务。 所以该漏洞可能会造成 『攻击者远端控制电脑』，也可能造成『Denied of Service』。我想由於该攻击程式主要是在欧美语系系统上开发，故攻击者 主要是利用 英文语系上面的弱点，至於在 中文/繁体中文 系统上的系统控制 就有问题。所以当遭受攻击时，恶意程式不会执行，反而是 svchost.exe一直 当。 这个跟 MS04-011 有异曲同工之妙阿 ～>_<～。 -- 以上言论纯属为了赚p币之行为，本人不保证其技术正确性 XD --

※ 发信站: 批踢踢实业坊(ptt.cc) ◆ From: 219.68.32.56