小解XP攻防技术


发布人:admin分类:网络安全浏览量:22发布时间:2017-12-12

前阵子吹了要把我们海外产品杀回来参加XP攻防,心里一直是忐忑的。XP攻防这事如果要做好,比较有挑战性。它一方面的确有技术门栏。国内外安全厂商这么多,也没有几个真把这个做好的。另外一方面需要研发的同学有良好的安全背景。

于是这段时间,捡起尘封多年的江湖手艺,恶补了几天漏洞分析利用的相关知识。

有一些不了解的朋友可能会问,XP保护,是不是就打开系统防火墙,配置规则,再弄几个安全策略?事实上完全不是这样的。

就XP保护技术来说,可以分为几个层面:

1、溢出保护

溢出保护就是给黑客在利用漏洞的过程中制造点麻烦。

微软在操作系统层面实现了一些漏洞利用的防护技术,主要体现在Win7之后,同时微软有一个独立的名为EMET(Enhanced Mitigation Experience Toolkit)的工具,也实现了一些溢出保护技术。包括DEP、ASLR等等,想了解溢出保护技术可以去看一下。

在常见给黑客捣乱的技术中,ASLR效果比较明显,如果能实现ASLR,基本上MSF中默认的各种IE漏洞都无法攻破系统,MSF是展示工具,针对XP的攻击利用并没有针对ASLR做绕过处理。

不过,仅实现了ASLR并不能真正解决问题,黑客们还有各种漏洞利用方式来入侵XP系统,所以溢出保护就要尽量覆盖到各种利用方式与技巧,包括不限于下面这些:

DEP、ASLR、VDM、Sehop、Nullpage、ROP、heapspray、ROP-I等等。

看起来很全了,不过这还是有问题,比如有人发现全新的利用方法,或者对现有利用方法进行修改。如果我们不知道,依然没有办法防御。或者即使知道了,但是防御成本很高,尤其是一些利用方式,配合一些奇葩的漏洞很难防,这个时候,就需要下面的办法了。

2、热补丁

热补丁就是我们对微软不提供补丁的漏洞进行动态修补,就是我们对微软的一些“有特点”的老漏洞进行二次加固。

具体上说,我们需要实现一个hotpatch架构,理想的情况是在内核层搞,如果为了快速参与评测也可以在应用层搞,通过对目标进程进行动态修补,或二次验证来解决一些特殊漏洞利用的问题。

这个需要处理的漏洞数量不多,不过需要比较有经验的人跟进,输出处理列表与处理方法。

3、应用隔离

通过上面两个部分,我们可以遏制住大多数漏洞的利用。假使做的比较好,是不是就一定能防住黑客入侵?

不见得,你就算能防100种攻击手法,只要遗漏一种,系统依然会被攻破。

所以我们可以通过应用隔离做一层加固,假定黑客即使利用成功,入侵电脑,我们把黑客限定在一个区域,使得黑客无法访问我们的重要数据,不影响我们的其他应用,这样依然保护了我们的电脑。

这个技术简单说就是沙箱,通过将不可信或风险应用在沙箱中打开、运行,从而规避可能对系统的伤害。在XP保护体系中,沙箱可以实现前面的保护措施被穿透后的数据保护。

不过,沙箱自身的防穿透保护也是一个问题,沙箱看起来美好,实现起来比较复杂,工作量比较大。从攻防的角度来看,沙箱就不单纯是进程、文件、注册表的隔离,需要处理的地方很多,江湖上流传各种五花八门的穿透思路都需要处理。

如果将上述三个方案都实现,XP保护方案将初具体系。

当然,再加上几个简单猥琐的手段,效果更好。然后,参加比赛,邀江湖朋友帮助测评,对发现的问题改进完善后。

一个成熟的XP防护产品就这样出炉了。

[作者:killer / 63229@qq.com,微信公众号:avplus ]


被黑站点统计 - 文章版权1、本主题所有言论和图片纯属会员个人意见,与本文章立场无关
2、本站所有主题由该文章作者发表,该文章作者与被黑站点统计享有文章相关版权
3、其他单位或个人使用、转载或引用本文时必须同时征得该文章作者和被黑站点统计的同意
4、文章作者须承担一切因本文发表而直接或间接导致的民事或刑事法律责任
5、本帖部分内容转载自其它媒体,但并不代表本站赞同其观点和对其真实性负责
6、如本帖侵犯到任何版权问题,请立即告知本站,本站将及时予与删除并致以最深的歉意
7、被黑站点统计管理员有权不事先通知发贴者而删除本文

免责声明

本站主要通过网络搜集国内被黑网站信息,统计分析数据,为部署安全型网络提供强有力的依据.本站所有工作人员均不参与黑站,挂马或赢利性行为,所有数据均为网民提供,提交者不一定是黑站人,所有提交采取不记名,先提交先审核的方式,如有任何疑问请及时与我们联系.

admin  的文章


微信公众号

微信公众号


Copyright © 2012-2022被黑网站统计系统All Rights Reserved
页面总访问量:21397840(PV) 页面执行时间:66.697(MS)
  • xml
  • 网站地图