|
今年年初,来自enSilo公司的研究人员Omri Misgav在分析Win内核代码时发现了这个问题。他指出这个bug影响自Win 2000后发布的所有Win版本。Misgav开展的测验显示,最近推出的Win 10也存在这个编程错误。微软推出PsSetLoadImageNotifyRoutine通知机制的目的是从编程上通知app开发人员关于新注册驱动的信息。由于系统还能检测出PE镜像是何时加载到虚拟内存中的,因此该机制还集成杀毒软件以检测到某些恶意操作类型。微软并不认为是安全问题。 现在最大的问题就是,安全软件依靠这种方式来检测某些恶意操作类型。Misgav通过邮件表示,“我们并不会测验任何一款具体的安全软件。我们了解到一些厂商运用这个机制,然而现在我们无法说明运用默认的PsSetLoadImageNotifyRoutine 信息是否会以及如何会影响到他们。”Misgav还指出在今年年初就曾联系MSRC(微软安全响应中心),但后者并不认为它是安全问题。他还表示,从网上找到的一些引用说明这个bug在某种程度上是已知的,但直到现在才说明了这个bug的根因和所有含义。
|
发表评论
