- UID
- 11498
- 积分
- 8801
- 威望
- 218458
- 桐币
- 137
- 激情
- -7
- 金币
- 0
- 在线时间
- 26 小时
- 注册时间
- 2005-4-30
桐网贡士
凤凰涅磐
- 积分
- 8801
鲜花( 0) 鸡蛋( 0)
|
楼主 |
发表于 2007-6-8 10:08:31
|
显示全部楼层
<P><blockquote><img border=0 src=images/icon-quote.gif> <b>鼎瑞科技:</b><br>drwtsn32.exe(Dr. Watson)是一个Windows系统内置的程序错误调试器。默认 <BR>状态下,出现程序错误时,Dr. Watson 将自动启动,除非系统上安装了VC等其他具有 <BR>调试功能的软件更改了默认值。注册表项: <BR>[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\AeDebug] <BR>下的Debugger 项的值指定了调试器及使用的命令;Auto 项决定是否自动诊断错误, <BR>并记录相应的诊断信息。 <BR>[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\AeDebug] <BR><BR>在Windows 2000中drwtsn32.exe默认会将故障转储文件user.dmp存放在目录 <BR>“\Documents and Settings\All Users\Documents\DrWatson”下。权限为Everyone <BR>完全控制。在Windows NT中被存储在“\WINNT\”中,everyone组至少有读取权限。 <BR><BR>由于user.dmp中存储的内容是当前用户的部分内存镜像,所以可能导致各种敏感信息 <BR>泄漏,例如帐号、口令、邮件、浏览过的网页、正在编辑的文件等等,具体取决于崩溃的 <BR>应用程序和在此之前用户进行了那些操作。 <BR><BR>因为Windows程序是如此易于崩溃,所以不能排除恶意用户利用此弱点获取非授权信息 <BR>的可能。例如:利用IE5.0以上的畸形注释漏洞就可以使浏览包含恶意代码的iexplore.exe <BR>和查看包含恶意代码的邮件程序崩溃。(关于IE的畸形注释漏洞请参见拙作《包含畸形注释 <BR>的HTML文件可使IE 5.0以上版本崩溃》) <BR><BR>测试: <BR>--->在administrator帐号下操作: <BR>如果目前的默认调试器不是 Dr. Watson,请在命令提示符后键入命令:drwtsn32 -i <BR>将 Dr. Watson 设为默认调试器。 <BR>先启动一个需要使用密码的程序,这里我们选择Foxmail。 <BR>用任务管理器察看Foxmail的PID,假设是“886”。在命令提示符后键入命令: <BR>drwtsn32 -p 886 <BR>--->在guest帐号下操作: <BR>在\Documents and Settings\All Users\Documents\DrWatson\目录下键入命令: <BR>type user.dmp|find "youEmailPasswd" <BR>就会发现你的邮件密码在user.dmp中,而且完全可以被guest用户读取。 <BR><BR>解决方案: <BR>微软尚未对此做出反应。 <BR>在可用的补丁出来之前,采取以下任一措施皆可解决此问题, <BR>1、键入不带参数的drwtsn32,更改故障转储文件到一个特权路径,如: <BR>\Documents and Settings\Administrator\DrWatson\ <BR>或取消“建立故障转储文件”选项。 <BR>2、删除注册表项 <BR>[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\AeDebug] <BR>下的相关键值。 <BR>3、使用其它调试工具。并在注册表中正确设置。 <BR><BR>附录:drwtsn32 参数 <BR><BR>drwtsn32 [-i] [-g] [-p pid] [-e event] [-?] <BR><BR>-i 将 DrWtsn32 当作默认应用程序错误调试程序 <BR>-g 被忽略,但作为 WINDBG 和 NTSD 的兼容而被提供 <BR>-p pid 要调试的进程 id <BR>-e event 表示进程附加完成的事件 <BR>-? 这个屏幕 <BR><BR>当然,这个其实可以直接给关闭的,方法:关闭Dr.Watson:在"开始"-"运行"中输入"drwtsn32"命令,调出系统里的Dr.Watson ,只保留"转储全部线程上下文"选项 <BR>不过说实话,可能你IE出问题了,是不是浏览什么网页中毒的?最好用金山,瑞星什么的先彻底杀下毒再说.</blockquote></P><P>我晕!我如同看天书般,哪看得懂啊。</P><P>估计确实是我IE的问题。</P><P>但是,至少自系统重装以来我一直只固定浏览几个比较可靠的网页啊,比如桐城网及一些比较大的门户网站,其他的没上过啊。</P><P>我现在用的杀毒软件是NOD32,一直在杀,仍然是不行。</P><P>怎么办?</P> |
|