北京:网站制作 网站建设 网站设计 CAD制图 效果图制作 建筑漫游 机械制图
最佳方案:CAD制图-3D效果图-3D动画制作-建筑漫游和机械效果图
24小时咨询热线:13366838023
首  页 新闻动态 域名注册 虚拟主机 主机托管 专线接入 图形图象艺术设计 CAD机械图制作 3D效果图制作
  建筑漫游 网页制作教程 程序编程教程 网站推广教程 多媒体制作 操作系统教程 图形图象处理教程 平面设计教程 网络安全教程
技术文章
网站的Google排名内部优化攻…
Auto CAD中为三维图形添加尺…
网站制作:如何确定网站栏目…
CSS文件应该保持整洁和统一
符合web标准的网页中调用Fla…
微软就发布了IE8的第二个Bet…
08年全球游戏软件销量同比增…
虚拟建筑场景漫游技术及其应…
三成鲜花通过QQ、网站在线卖…
假冒网站成本只需百元
美家庭学校封杀10大网站排名…
数字光魔地产动画 互动建筑漫…
如何打造实用网站?
客户案例
arca laska服装品牌
北京莱比特环保科技有限公司…
渲淇犬舍
网站建设:绿色健峰
网站制作:天津信汇制药股份有…
网站建设:北京凯伦葡萄酒有限…
网站制作:泰赫雅特汽车销售服…
网站制作:北京顺新联华商贸公…
网站制作:3818库画廊
北京天成鑫缘家政服务中心
美术家协会国际双年展
加拿大瑞潮商业顾问有限公司…
北京新二灯霓虹灯饰有限公司…
  更多>>  


drwtsn32.exe故障转储文件默认权限设置不当

来源:  

发现者:tombkeeper@126.com
发现时间:2001.10.31

主页:www.whitecell.org

描述:
drwtsn32.exe故障转储文件默认权限设置不当,可能导致敏感信息泄漏。

影响系统:
当前所有Windows版本

详细:
drwtsn32.exe(Dr. Watson)是一个Windows系统内置的程序错误调试器。默认
状态下,出现程序错误时,Dr. Watson 将自动启动,除非系统上安装了VC等其他具有
调试功能的软件更改了默认值。注册表项:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\AeDebug]
下的Debugger 项的值指定了调试器及使用的命令;Auto 项决定是否自动诊断错误,
并记录相应的诊断信息。
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\AeDebug]

在Windows 2000中drwtsn32.exe默认会将故障转储文件user.dmp存放在目录
“\Documents and Settings\All Users\Documents\DrWatson”下。权限为Everyone
完全控制。在Windows NT中被存储在“\WINNT\”中,everyone组至少有读取权限。

由于user.dmp中存储的内容是当前用户的部分内存镜像,所以可能导致各种敏感信息
泄漏,例如帐号、口令、邮件、浏览过的网页、正在编辑的文件等等,具体取决于崩溃的
应用程序和在此之前用户进行了那些操作。

因为Windows程序是如此易于崩溃,所以不能排除恶意用户利用此弱点获取非授权信息
的可能。例如:利用IE5.0以上的畸形注释漏洞就可以使浏览包含恶意代码的iexplore.exe
和查看包含恶意代码的邮件程序崩溃。(关于IE的畸形注释漏洞请参见拙作《包含畸形注释
的HTML文件可使IE 5.0以上版本崩溃》)

测试:
--->在administrator帐号下操作:
如果目前的默认调试器不是 Dr. Watson,请在命令提示符后键入命令:drwtsn32 -i
将 Dr. Watson 设为默认调试器。
先启动一个需要使用密码的程序,这里我们选择Foxmail。
用任务管理器察看Foxmail的PID,假设是“886”。在命令提示符后键入命令:
drwtsn32 -p 886
--->在guest帐号下操作:
在\Documents and Settings\All Users\Documents\DrWatson\目录下键入命令:
type user.dmp|find "youEmailPasswd"
就会发现你的邮件密码在user.dmp中,而且完全可以被guest用户读取。

解决方案:
微软尚未对此做出反应。
在可用的补丁出来之前,采取以下任一措施皆可解决此问题,
1、键入不带参数的drwtsn32,更改故障转储文件到一个特权路径,如:
\Documents and Settings\Administrator\DrWatson\
或取消“建立故障转储文件”选项。
2、删除注册表项
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\AeDebug]
下的相关键值。
3、使用其它调试工具。并在注册表中正确设置。

附录:drwtsn32 参数

drwtsn32 [-i] [-g] [-p pid] [-e event] [-?]

-i 将 DrWtsn32 当作默认应用程序错误调试程序
-g 被忽略,但作为 WINDBG 和 NTSD 的兼容而被提供
-p pid 要调试的进程 id
-e event 表示进程附加完成的事件
-? 这个屏幕

2005-1-30 15:06:17

【关闭窗口】
友情链接: 格鲁吉亚旅游与投资
Copyright © 2001-2020 Beijing Aodu Haixun Tchnology Inc.All rights reserved. 版权所有:海讯资源
电  话:010-88409500 13366838023 网站制作专线:010-15210224336(微信同号)
传  真: 电子邮件:haixunceo@126.com