@Killer :小解XP攻防技术
前阵子吹了要把我们海外产品杀回来参加XP攻防,心里一直是忐忑的。
XP攻防这事如果要做好,比较有挑战性。它一方面的确有技术门栏。国内外安全厂商这么多,也没有几个真把这个做好的。另外一方面需要研发的同学有良好的安全背景。
于是这段时间,捡起尘封多年的江湖手艺,恶补了几天漏洞分析利用的相关知识。
有一些不了解的朋友可能会问,XP保护,是不是就打开系统防火墙,配置规则,再弄几个安全策略?
事实上完全不是这样的。
就XP保护技术来说,可以分为几个层面:
1、溢出保护
溢出保护就是给黑客在利用漏洞的过程中制造点麻烦。
微软在操作系统层面实现了一些漏洞利用的防护技术,主要体现在Win7之后,同时微软有一个独立的名为EMET(Enhanced Mitigation Experience Toolkit)的工具,也实现了一些溢出保护技术。包括DEP、ASLR等等,想了解溢出保护技术可以去看一下。
在常见给黑客捣乱的技术中,ASLR效果比较明显,如果能实现ASLR,基本上MSF中默认的各种IE漏洞都无法攻破系统,MSF是展示工具,针对XP的攻击利用并没有针对ASLR做绕过处理。
不过,仅实现了ASLR并不能真正解决问题,黑客们还有各种漏洞利用方式来入侵XP系统,所以溢出保护就要尽量覆盖到各种利用方式与技巧,包括不限于下面这些:
DEP、ASLR、VDM、Sehop、Nullpage、ROP、heapspray、ROP-I等等。
看起来很全了,不过这还是有问题,比如有人发现全新的利用方法,或者对现有利用方法进行修改。如果我们不知道,依然没有办法防御。或者即使知道了,但是防御成本很高,尤其是一些利用方式,配合一些奇葩的漏洞很难防,这个时候,就需要下面的办法了。
2、热补丁
热补丁就是我们对微软不提供补丁的漏洞进行动态修补,就是我们对微软的一些“有特点”的老漏洞进行二次加固。
具体上说,我们需要实现一个hotpatch架构,理想的情况是在内核层搞,如果为了快速参与评测也可以在应用层搞,通过对目标进程进行动态修补,或二次验证来解决一些特殊漏洞利用的问题。
这个需要处理的漏洞数量不多,不过需要比较有经验的人跟进,输出处理列表与处理方法。
3、应用隔离
通过上面两个部分,我们可以遏制住大多数漏洞的利用。假使做的比较好,是不是就一定能防住黑客入侵?
不见得,你就算能防100种攻击手法,只要遗漏一种,系统依然会被攻破。
所以我们可以通过应用隔离做一层加固,假定黑客即使利用成功,入侵电脑,我们把黑客限定在一个区域,使得黑客无法访问我们的重要数据,不影响我们的其他应用,这样依然保护了我们的电脑。
这个技术简单说就是沙箱,通过将不可信或风险应用在沙箱中打开、运行,从而规避可能对系统的伤害。在XP保护体系中,沙箱可以实现前面的保护措施被穿透后的数据保护。
不过,沙箱自身的防穿透保护也是一个问题,沙箱看起来美好,实现起来比较复杂,工作量比较大。从攻防的角度来看,沙箱就不单纯是进程、文件、注册表的隔离,需要处理的地方很多,江湖上流传各种五花八门的穿透思路都需要处理。
如果将上述三个方案都实现,XP保护方案将初具体系。
当然,再加上几个简单猥琐的手段,效果更好。
然后,参加比赛,邀江湖朋友帮助测评,对发现的问题改进完善后。
一个成熟的XP防护产品就这样出炉了。
XP攻防这事如果要做好,比较有挑战性。它一方面的确有技术门栏。国内外安全厂商这么多,也没有几个真把这个做好的。另外一方面需要研发的同学有良好的安全背景。
于是这段时间,捡起尘封多年的江湖手艺,恶补了几天漏洞分析利用的相关知识。
有一些不了解的朋友可能会问,XP保护,是不是就打开系统防火墙,配置规则,再弄几个安全策略?
事实上完全不是这样的。
就XP保护技术来说,可以分为几个层面:
1、溢出保护
溢出保护就是给黑客在利用漏洞的过程中制造点麻烦。
微软在操作系统层面实现了一些漏洞利用的防护技术,主要体现在Win7之后,同时微软有一个独立的名为EMET(Enhanced Mitigation Experience Toolkit)的工具,也实现了一些溢出保护技术。包括DEP、ASLR等等,想了解溢出保护技术可以去看一下。
在常见给黑客捣乱的技术中,ASLR效果比较明显,如果能实现ASLR,基本上MSF中默认的各种IE漏洞都无法攻破系统,MSF是展示工具,针对XP的攻击利用并没有针对ASLR做绕过处理。
不过,仅实现了ASLR并不能真正解决问题,黑客们还有各种漏洞利用方式来入侵XP系统,所以溢出保护就要尽量覆盖到各种利用方式与技巧,包括不限于下面这些:
DEP、ASLR、VDM、Sehop、Nullpage、ROP、heapspray、ROP-I等等。
看起来很全了,不过这还是有问题,比如有人发现全新的利用方法,或者对现有利用方法进行修改。如果我们不知道,依然没有办法防御。或者即使知道了,但是防御成本很高,尤其是一些利用方式,配合一些奇葩的漏洞很难防,这个时候,就需要下面的办法了。
2、热补丁
热补丁就是我们对微软不提供补丁的漏洞进行动态修补,就是我们对微软的一些“有特点”的老漏洞进行二次加固。
具体上说,我们需要实现一个hotpatch架构,理想的情况是在内核层搞,如果为了快速参与评测也可以在应用层搞,通过对目标进程进行动态修补,或二次验证来解决一些特殊漏洞利用的问题。
这个需要处理的漏洞数量不多,不过需要比较有经验的人跟进,输出处理列表与处理方法。
3、应用隔离
通过上面两个部分,我们可以遏制住大多数漏洞的利用。假使做的比较好,是不是就一定能防住黑客入侵?
不见得,你就算能防100种攻击手法,只要遗漏一种,系统依然会被攻破。
所以我们可以通过应用隔离做一层加固,假定黑客即使利用成功,入侵电脑,我们把黑客限定在一个区域,使得黑客无法访问我们的重要数据,不影响我们的其他应用,这样依然保护了我们的电脑。
这个技术简单说就是沙箱,通过将不可信或风险应用在沙箱中打开、运行,从而规避可能对系统的伤害。在XP保护体系中,沙箱可以实现前面的保护措施被穿透后的数据保护。
不过,沙箱自身的防穿透保护也是一个问题,沙箱看起来美好,实现起来比较复杂,工作量比较大。从攻防的角度来看,沙箱就不单纯是进程、文件、注册表的隔离,需要处理的地方很多,江湖上流传各种五花八门的穿透思路都需要处理。
如果将上述三个方案都实现,XP保护方案将初具体系。
当然,再加上几个简单猥琐的手段,效果更好。
然后,参加比赛,邀江湖朋友帮助测评,对发现的问题改进完善后。
一个成熟的XP防护产品就这样出炉了。关注公众号:拾黑(shiheibook)了解更多
[广告]赞助链接:
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/
![杨晚钰 软糯水切糕上线[羞嗒嗒] 毛毛好软好好rua~ ](https://imgs.knowsafe.com:8087/img/aideep/2022/2/20/799edc5245202071b38a8a3ead4d1f12.jpg?w=250)
情报狗
关注网络尖刀微信公众号随时掌握互联网精彩
赞助链接
排名
热点
搜索指数
- 1 志合越山海 7983818
- 2 县委书记放任劣质米掺进学生餐 7968446
- 3 徐娇劝阻男子餐厅内抽烟被抢手机 7824180
- 4 细数中国工业经济这一年 7716050
- 5 曝宝石老舅因醉酒打架被拘 7634249
- 6 平安夜票房创10年最低 7522897
- 7 特斯拉摆件15分钟被抢光炒到翻倍 7441437
- 8 马伊琍获评国家一级演员正高职称 7396247
- 9 2023年GDP比初步核算增33690亿 7292564
- 10 孙阳 不知道啊说有吻戏我就来了 7136486
