10:37
205
0
脱壳的艺术Mark Vincent Yason
概述:脱壳是门艺术——脱壳既是一种心理挑战,同时也是逆向领域最为激动人心的智力游戏之一。为了甄别或解决非常难的反逆向技巧,逆向分析人员有时不得不了解操作系统的一些底层知识,聪明和耐心也是成功脱壳的关键。这个挑战既牵涉到壳的创建者,也牵涉到那些决心躲过这些保护的脱壳者。
1、 提示一些不相干的话。
最常见的是提示一些不相干的话,比如打开感染了宏病毒的Word文档,如果满足了发作条件的话,它就会弹出对话框显示"这个世界太黑暗了!",并且要求你输入"太正确了"后按确定按钮。
2、发出一段的音乐。 恶作剧式的计算机病毒,最著名的是外国的"杨基"计算机病毒(Yangkee)和中国的"浏阳河"计算机病毒。"杨基"计算机病毒发作是利用计算机内置的扬声器演奏《杨基》音乐,而"浏阳河"计算机病毒更绝,当系统时钟为9月9日时演奏歌曲《浏阳河》,而当系统时钟为12月26日时则演奏《东方红》的旋律。这类计算机病毒大多属于"良性"计算机病毒,只是在发作时发出音乐和占用处理器资源。
3、 产生特定的图象。 另一类恶作剧式的计算机病毒,比如小球计算机病毒,发作时会从屏幕上方不断掉落下来小球图形。单纯地产生图象的计算机病毒大多也是"良性"计算机病毒,只是在发作时破坏用户的显示界面,干扰用户的正常工作。
最常见的是提示一些不相干的话,比如打开感染了宏病毒的Word文档,如果满足了发作条件的话,它就会弹出对话框显示"这个世界太黑暗了!",并且要求你输入"太正确了"后按确定按钮。
2、发出一段的音乐。 恶作剧式的计算机病毒,最著名的是外国的"杨基"计算机病毒(Yangkee)和中国的"浏阳河"计算机病毒。"杨基"计算机病毒发作是利用计算机内置的扬声器演奏《杨基》音乐,而"浏阳河"计算机病毒更绝,当系统时钟为9月9日时演奏歌曲《浏阳河》,而当系统时钟为12月26日时则演奏《东方红》的旋律。这类计算机病毒大多属于"良性"计算机病毒,只是在发作时发出音乐和占用处理器资源。
3、 产生特定的图象。 另一类恶作剧式的计算机病毒,比如小球计算机病毒,发作时会从屏幕上方不断掉落下来小球图形。单纯地产生图象的计算机病毒大多也是"良性"计算机病毒,只是在发作时破坏用户的显示界面,干扰用户的正常工作。
1.桌面漏洞
InternetExplorer、Firefox和Windows操作系统中包含很多可以被黑客利用的漏洞,特别是在用户经常不及时安装补丁的情况下。黑客会利用这些漏洞在不经用户同意的情况下自动下载恶意软件代码——也称作隐藏式下载。
2.服务器漏洞
由于存在漏洞和服务器管理配置错误,InternetInformationServer(IIS)和Apache网络服务器经常被黑客用来攻击。
3.Web服务器虚拟托管
同时托管几个甚至数千个网站的服务器也是恶意攻击的目标。
4.显性/开放式代理
被黑客控制的计算机可以被设置为代理服务器,躲避URL过滤对通信的控制,进行匿名上网或者充当非法网站数据流的中间人。
InternetExplorer、Firefox和Windows操作系统中包含很多可以被黑客利用的漏洞,特别是在用户经常不及时安装补丁的情况下。黑客会利用这些漏洞在不经用户同意的情况下自动下载恶意软件代码——也称作隐藏式下载。
2.服务器漏洞
由于存在漏洞和服务器管理配置错误,InternetInformationServer(IIS)和Apache网络服务器经常被黑客用来攻击。
3.Web服务器虚拟托管
同时托管几个甚至数千个网站的服务器也是恶意攻击的目标。
4.显性/开放式代理
被黑客控制的计算机可以被设置为代理服务器,躲避URL过滤对通信的控制,进行匿名上网或者充当非法网站数据流的中间人。
微软周一发布了一个安全咨询,解决了在其Internet信息服务(IIS)Web服务器软件中的一个潜在漏洞。
Redmond说,这一漏洞涉及到IIS 5.0、5.1和6.0版本。微软表示,他们目前还未发现有针对IIS的任何“已知攻击”,但他们正在调查此事。IIS是继Apache HTTP服务器之后世界上最常用的Web服务器。
独立安全研究人员是于上周晚些时候首先发现该漏洞的。本周一,美国计算机安全紧急响应小组(US-CERT)证实,确实有IIS被非法入侵的威胁。
在其安全咨询中,微软认定这些漏洞只是三个“中介因素”,直到他们公布调查结论并发布一个新的补丁。
首先,微软建议系统管理员通过维护文件系统访问控制列表(ACL)的固件和可执行性。以取缔访问控制安全,提高访问权限,减轻安全问题。微软解释说,在这种情况下 “此漏洞不能以匿名用户帐户的形式通过文件系统ACL使用超过级别授予的访问。”
第二种方法涉及配置孤立文件,采用匿名或管理用户帐户则拒绝执行,更改或删除权限的默认。这样,一个如“ SECADMIN ”或“SYSADMIN”的匿名名单的用户配置文件就不在具有访问权限。
最后缓解技巧涉及禁用基于Web的分布式创作和版本控制(WebDAV)。微软的顾问说,这方法特别适用于Windows Server 2003系统运行IIS 6.0。该咨询顾问补充说,在IIS 6.0中“ WebDAV并未启用。”并缺省配置,除非由管理员启用,否则该系统仍是相对暴露状态。
Shavlik Technologies公司首席技术官Eric Schultze提供一个值得IT专业人员研究的漏洞警示。
“这个漏洞可以使攻击者在Web服务器上阅读网页代码,而这些网页可能包括网络服务器所控制的用户名或密码等应用程序或数据库。” Schultze在一份声明中指出。“我建议人们运行IIS 5或IIS 6时运行微软的IIS锁定功能和URLscan工具。这两种工具禁用WebDAV,以便保护您的系统。”
一些漏洞之前已经出现过,并在IIS之前安装了修补程序。2008年2月,微软发布了两项补丁来解决中的IIS特权提升和远程代码执行漏洞。当时,有人说,攻击者可以通过控制工作进程标识的应用程序控制IIS服务器,这是网络管理员帐户权限默认预设的。
Redmond说,这一漏洞涉及到IIS 5.0、5.1和6.0版本。微软表示,他们目前还未发现有针对IIS的任何“已知攻击”,但他们正在调查此事。IIS是继Apache HTTP服务器之后世界上最常用的Web服务器。
独立安全研究人员是于上周晚些时候首先发现该漏洞的。本周一,美国计算机安全紧急响应小组(US-CERT)证实,确实有IIS被非法入侵的威胁。
在其安全咨询中,微软认定这些漏洞只是三个“中介因素”,直到他们公布调查结论并发布一个新的补丁。
首先,微软建议系统管理员通过维护文件系统访问控制列表(ACL)的固件和可执行性。以取缔访问控制安全,提高访问权限,减轻安全问题。微软解释说,在这种情况下 “此漏洞不能以匿名用户帐户的形式通过文件系统ACL使用超过级别授予的访问。”
第二种方法涉及配置孤立文件,采用匿名或管理用户帐户则拒绝执行,更改或删除权限的默认。这样,一个如“ SECADMIN ”或“SYSADMIN”的匿名名单的用户配置文件就不在具有访问权限。
最后缓解技巧涉及禁用基于Web的分布式创作和版本控制(WebDAV)。微软的顾问说,这方法特别适用于Windows Server 2003系统运行IIS 6.0。该咨询顾问补充说,在IIS 6.0中“ WebDAV并未启用。”并缺省配置,除非由管理员启用,否则该系统仍是相对暴露状态。
Shavlik Technologies公司首席技术官Eric Schultze提供一个值得IT专业人员研究的漏洞警示。
“这个漏洞可以使攻击者在Web服务器上阅读网页代码,而这些网页可能包括网络服务器所控制的用户名或密码等应用程序或数据库。” Schultze在一份声明中指出。“我建议人们运行IIS 5或IIS 6时运行微软的IIS锁定功能和URLscan工具。这两种工具禁用WebDAV,以便保护您的系统。”
一些漏洞之前已经出现过,并在IIS之前安装了修补程序。2008年2月,微软发布了两项补丁来解决中的IIS特权提升和远程代码执行漏洞。当时,有人说,攻击者可以通过控制工作进程标识的应用程序控制IIS服务器,这是网络管理员帐户权限默认预设的。
ERROR:
RasSetEntryProperties function fails with error 621 when you call the function in a service that is running under a local system account
CAUSE:
The lpszPhonebook parameter is a pointer to a null-terminated string that specifies the full path and file name of a phonebook (.pbk) file. If this parameter is NULL, the function uses the current default phonebook file. When you call the RasSetEntryProperties function in a Win32 service that is running under the context of the local system account, and the lpszPhonebook parameter is set to NULL, the function tries to locate the phonebook file in the %Documents and Settings%\LocalSystem folder. However, the %Documents and Settings%\LocalSystem folder does not exist, and you receive the 621 error message.
RESOLUTION:
You can pass in the complete path of the All Users remote access phonebook file to the RasSetEntryProperties function to create the entry. The following is the complete path:
%Documents and Settings%\All Users\Application Data\Microsoft\Network\Connections\Pbk\Rasphone.pbk
RasSetEntryProperties function fails with error 621 when you call the function in a service that is running under a local system account
CAUSE:
The lpszPhonebook parameter is a pointer to a null-terminated string that specifies the full path and file name of a phonebook (.pbk) file. If this parameter is NULL, the function uses the current default phonebook file. When you call the RasSetEntryProperties function in a Win32 service that is running under the context of the local system account, and the lpszPhonebook parameter is set to NULL, the function tries to locate the phonebook file in the %Documents and Settings%\LocalSystem folder. However, the %Documents and Settings%\LocalSystem folder does not exist, and you receive the 621 error message.
RESOLUTION:
You can pass in the complete path of the All Users remote access phonebook file to the RasSetEntryProperties function to create the entry. The following is the complete path:
%Documents and Settings%\All Users\Application Data\Microsoft\Network\Connections\Pbk\Rasphone.pbk
