Abuse Melding

Je hebt een klacht over de onderstaande posting:

31-12-2005, 14:07 door Bitwiper

Door Virtal op donderdag 29 december 2005 11:42 > WMF-bestanden beginnen met D7 CD C6 9A Die definitie is onjuist, zoals Virtal zelf laat zien in zijn volgende bijdrage; de exploits die nu in omloop zijn, beginnen bij mijn weten allemaal met 01 00 09 00. Metafiles die met D7 CD C6 9A beginnen zijn zogenaamde placeable metafiles. Dat zijn gewone metafiles waar een speciale header (van 22 bytes) voorgeplakt is, die o.a. aangeeft hoe het "plaatje" geschaald moet worden. Ik weet niet of de exploit ook werkt als er zo'n placeable header voor zit. Wat ondertussen ook bekend is, is dat de exploits op de een of andere manier gebruik maken van "SetAbortProc" (scary verhaal, maar te lang verhaal om hier uit te leggen; tipje van de sluier: de uiteindelijke kwetsbaarheid zit in GDI32.DLL). Punt is dat daarmee verderop in elke exploit de bytes 26 06 09 00 voorbij komen. Dat is, als ik goed begrepen heb, het belangrijkste aanknopingspunt voor geactualiseerde virusscanners en SNORT ...

Beschrijf je klacht (Optioneel):

captcha