小解XP攻防技术

前阵子吹了要把我们海外产品杀回来参加XP攻防,心里一直是忐忑的。XP攻防这事如果要做好,比较有挑战性。它一方面的确有技术门栏。国内外安全厂商这么多,也没有几个真把这个做好的。另外一方面需要研发的同学有良好的安全背景。

于是这段时间,捡起尘封多年的江湖手艺,恶补了几天漏洞分析利用的相关知识。

有一些不了解的朋友可能会问,XP保护,是不是就打开系统防火墙,配置规则,再弄几个安全策略?事实上完全不是这样的。

就XP保护技术来说,可以分为几个层面:

1、溢出保护

溢出保护就是给黑客在利用漏洞的过程中制造点麻烦。

微软在操作系统层面实现了一些漏洞利用的防护技术,主要体现在Win7之后,同时微软有一个独立的名为EMET(Enhanced Mitigation Experience Toolkit)的工具,也实现了一些溢出保护技术。包括DEP、ASLR等等,想了解溢出保护技术可以去看一下。

在常见给黑客捣乱的技术中,ASLR效果比较明显,如果能实现ASLR,基本上MSF中默认的各种IE漏洞都无法攻破系统,MSF是展示工具,针对XP的攻击利用并没有针对ASLR做绕过处理。

不过,仅实现了ASLR并不能真正解决问题,黑客们还有各种漏洞利用方式来入侵XP系统,所以溢出保护就要尽量覆盖到各种利用方式与技巧,包括不限于下面这些:

DEP、ASLR、VDM、Sehop、Nullpage、ROP、heapspray、ROP-I等等。

看起来很全了,不过这还是有问题,比如有人发现全新的利用方法,或者对现有利用方法进行修改。如果我们不知道,依然没有办法防御。或者即使知道了,但是防御成本很高,尤其是一些利用方式,配合一些奇葩的漏洞很难防,这个时候,就需要下面的办法了。

2、热补丁

热补丁就是我们对微软不提供补丁的漏洞进行动态修补,就是我们对微软的一些“有特点”的老漏洞进行二次加固。

具体上说,我们需要实现一个hotpatch架构,理想的情况是在内核层搞,如果为了快速参与评测也可以在应用层搞,通过对目标进程进行动态修补,或二次验证来解决一些特殊漏洞利用的问题。

这个需要处理的漏洞数量不多,不过需要比较有经验的人跟进,输出处理列表与处理方法。

3、应用隔离

通过上面两个部分,我们可以遏制住大多数漏洞的利用。假使做的比较好,是不是就一定能防住黑客入侵?

不见得,你就算能防100种攻击手法,只要遗漏一种,系统依然会被攻破。

所以我们可以通过应用隔离做一层加固,假定黑客即使利用成功,入侵电脑,我们把黑客限定在一个区域,使得黑客无法访问我们的重要数据,不影响我们的其他应用,这样依然保护了我们的电脑。

这个技术简单说就是沙箱,通过将不可信或风险应用在沙箱中打开、运行,从而规避可能对系统的伤害。在XP保护体系中,沙箱可以实现前面的保护措施被穿透后的数据保护。

不过,沙箱自身的防穿透保护也是一个问题,沙箱看起来美好,实现起来比较复杂,工作量比较大。从攻防的角度来看,沙箱就不单纯是进程、文件、注册表的隔离,需要处理的地方很多,江湖上流传各种五花八门的穿透思路都需要处理。

如果将上述三个方案都实现,XP保护方案将初具体系。

当然,再加上几个简单猥琐的手段,效果更好。然后,参加比赛,邀江湖朋友帮助测评,对发现的问题改进完善后。

一个成熟的XP防护产品就这样出炉了。

[作者:killer / 63229@qq.com,微信公众号:avplus ]

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2014-09-18

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏FreeBuf

这可能是史上最大规模Google Play恶意程序活动

近期,Check Point的安全研究专家在Google自家的官方App商城Google Play中发现了一种大规模恶意软件活动。这款恶意软件名叫“Judy”,...

35360
来自专栏安恒信息

你知道吗:facebook员工无需密码,就能访问你的账号!

毫无疑问,在不久的将来,Facebook和其他大型科技公司:包括谷歌,苹果和雅虎正试图通过采用终端到终端通信加密解决方案,来确保他们的数据不会被执法、间谍机构窃...

28780
来自专栏安恒信息

许多设备永远都不会修复心脏出血漏洞

本周最受关注的安全问题莫过于 OpenSSL“心脏出血”漏洞,这一漏洞将影响超过 2/3 网站,几乎所有的网民都需要认识到这个问题的严重性,必...

28950
来自专栏黑白安全

社会工程学

社交工程是用于通过人类交互完成的广泛恶意活动的术语。它使用心理操纵来诱骗用户犯下安全错误或泄露敏感信息。

78420
来自专栏黑白安全

将“窃取隐私的贼”扼杀在襁褓中

导读:互联网时代,运筹帷幄之中,决胜千里之外不再是奇人所为,大数据的发展更让我们觉得,世界都在关注我。想你之所想,急你之所急,精准的营销和推荐让我们享受着主人公...

9540
来自专栏网络安全防护

最常见的十种网络攻击行为,你能防住几个?

随着互联网的快速发展,给我们的生活带来了很多便利,5G网络的即将来临,将带我们进入一个万物互联的时代。然而在网络快速发展的同时,网络安全威胁也越来越严重,网络攻...

1.2K00
来自专栏FreeBuf

从恶意流量看2018十大互联网安全趋势

「天下熙熙,皆为利来;天下攘攘,皆为利往。」太史公一语道尽众生之奔忙。在虚拟的世界,同样有着海量的「众生」,它们默默无闻,它们不知疲倦,它们无穷无尽,同样为了「...

23720
来自专栏云基础安全

Web应用安全:腾讯云网站管家WAF

腾讯云网站管家WAF(Web Application Firewall,Web应用防火墙),是一款专业为用户网站及Web应用打造的基于AI的一站式Web业务运营...

86000
来自专栏BIT泽清

金融理财类app上架因苹果PLA1.2;5.2.1;3.2.1等审核拒绝

从今年1月初以来,苹果应用商店针对应用审核所采取的行动让大批金融理财应用、其他应用、马甲应用陷入了苦站:被拒几率暴增,很多开发者都被苹果暴击了、多次审核不过、审...

83670
来自专栏玉树芝兰

为什么你不该用免费公共WiFi?

商业区的饭馆或咖啡厅,一般都会在门口显著的位置贴几个科技感十足的标志。除了“大众点评合作商家”、“支持支付宝/微信支付”,最能吸引眼球的就是“本店提供免费WiF...

12420

扫码关注云+社区

领取腾讯云代金券