输入法几乎是装机必备的软件,和浏览器一样,当年也是一片混战,不过能笑到最后的就那几个。输入法而已,又不能展示广告,而其都是免费的,有啥搞头?其实,这里面猫腻还是很多的,因为输入法模块可以用合法方式注入到任何用户进程中,而且是Windows系统许可的方式,用户的进程有什么权限,输入法就能得到什么权限,灰色地带很宽,所以能“玩”的地方太多了,这里就不说了,大家都懂得。
前几个月收到一个蓝屏dump,怀疑和透明加密驱动有关,因为出现的不频繁,所以没有太上心,上周刚好有空,就打开看了看,这一看,又跟某狗输入法有关。先说说用户的电脑环境,装了360和腾讯管家,XX优化软件,当然,还有某狗输入法。看到同时装360和腾讯管家,我也是服了,可能是电脑性能太高了,需要降低点性能用吧,土豪的世界我不懂,不过这两家居然能和平相处也是神了。言归正传,说说蓝屏的原因吧。原因是那个输入法在word进程中悄悄下载了一个程序,看名字是升级程序,具体是干什么的不知道。因为文件生成是在word进程中,word是透明加密的受控可信进程,所以写入磁盘时是layerfsd层的加密文件。但是run这个程序的时候(因为是在word进程中run的,因此父进程是word),被360拦截到了,360截获NtCreateSection,获取到了启动程序的文件对象,但是360没有判断这个文件对象是否是ntfs层的文件对象,直接把透明加密驱动的layerfsd层文件对象传递给底层文件名信息获取接口,因为layerfsd层的文件对性FCB和CCB都和ntfs层的不一样,所以解析错误(访问错误地址),直接蓝屏。
原因其实很简单,解决也不难,再说说输入法吧,本人用过的输入法不多,总的来说,某光还算老实,基本上没做什么出格的事情,但是功能偏弱。某狗就不说了,功能很强大,但是在用户进程中“上窜下跳”,据说是跟某云功能有关,总之,调试器里看是一片刷屏打印。还有背后推广告的输入法,总之,萝卜白菜,各有所爱吧。
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
