安云网 - AnYun.ORG | 专注于网络信息收集、网络数据分享、网络安全研究、网络各种猎奇八卦。
当前位置: 安云网 > 技术关注 > 系统文档 > 小解XP攻防技术

小解XP攻防技术

时间:2014-09-22来源: 作者:killer点击:
前阵子吹了要把我们海外产品杀回来参加XP攻防,心里一直是忐忑的。XP攻防这事如果要做好,比较有挑战性。它一方面的确有技术门栏。国内外安全厂商这么多,也没有几个真把这个做好的。另外一方面需要研发的同学有…

//本文来自安云网

前阵子吹了要把我们海外产品杀回来参加XP攻防,心里一直是忐忑的。XP攻防这事如果要做好,比较有挑战性。它一方面的确有技术门栏。国内外安全厂商这么多,也没有几个真把这个做好的。另外一方面需要研发的同学有良好的安全背景。

//ANYUN.ORG

于是这段时间,捡起尘封多年的江湖手艺,恶补了几天漏洞分析利用的相关知识。 //ANYUN.ORG

有一些不了解的朋友可能会问,XP保护,是不是就打开系统防火墙,配置规则,再弄几个安全策略?事实上完全不是这样的。

//内容来自安云网

就XP保护技术来说,可以分为几个层面:

//内容来自AnYun.ORG

1、溢出保护 //内容来自AnYun.ORG

溢出保护就是给黑客在利用漏洞的过程中制造点麻烦。 //copyright AnYun.ORG

微软在操作系统层面实现了一些漏洞利用的防护技术,主要体现在Win7之后,同时微软有一个独立的名为EMET(Enhanced Mitigation Experience Toolkit)的工具,也实现了一些溢出保护技术。包括DEP、ASLR等等,想了解溢出保护技术可以去看一下。 //copyright AnYun.ORG

在常见给黑客捣乱的技术中,ASLR效果比较明显,如果能实现ASLR,基本上MSF中默认的各种IE漏洞都无法攻破系统,MSF是展示工具,针对XP的攻击利用并没有针对ASLR做绕过处理。

//本文来自安云网

不过,仅实现了ASLR并不能真正解决问题,黑客们还有各种漏洞利用方式来入侵XP系统,所以溢出保护就要尽量覆盖到各种利用方式与技巧,包括不限于下面这些:

//ANYUN.ORG

DEP、ASLR、VDM、Sehop、Nullpage、ROP、heapspray、ROP-I等等。 //ANYUN.ORG

看起来很全了,不过这还是有问题,比如有人发现全新的利用方法,或者对现有利用方法进行修改。如果我们不知道,依然没有办法防御。或者即使知道了,但是防御成本很高,尤其是一些利用方式,配合一些奇葩的漏洞很难防,这个时候,就需要下面的办法了。

//内容来自AnYun.ORG

2、热补丁

//内容来自AnYun.ORG

热补丁就是我们对微软不提供补丁的漏洞进行动态修补,就是我们对微软的一些“有特点”的老漏洞进行二次加固。 //本文来自安云网

具体上说,我们需要实现一个hotpatch架构,理想的情况是在内核层搞,如果为了快速参与评测也可以在应用层搞,通过对目标进程进行动态修补,或二次验证来解决一些特殊漏洞利用的问题。 //本文来自安云网

这个需要处理的漏洞数量不多,不过需要比较有经验的人跟进,输出处理列表与处理方法。

//copyright AnYun.ORG

3、应用隔离

//ANYUN.ORG

通过上面两个部分,我们可以遏制住大多数漏洞的利用。假使做的比较好,是不是就一定能防住黑客入侵? //安云网,anyun.org

不见得,你就算能防100种攻击手法,只要遗漏一种,系统依然会被攻破。 //内容来自安云网

所以我们可以通过应用隔离做一层加固,假定黑客即使利用成功,入侵电脑,我们把黑客限定在一个区域,使得黑客无法访问我们的重要数据,不影响我们的其他应用,这样依然保护了我们的电脑。 //内容来自AnYun.ORG

这个技术简单说就是沙箱,通过将不可信或风险应用在沙箱中打开、运行,从而规避可能对系统的伤害。在XP保护体系中,沙箱可以实现前面的保护措施被穿透后的数据保护。

//ANYUN.ORG

不过,沙箱自身的防穿透保护也是一个问题,沙箱看起来美好,实现起来比较复杂,工作量比较大。从攻防的角度来看,沙箱就不单纯是进程、文件、注册表的隔离,需要处理的地方很多,江湖上流传各种五花八门的穿透思路都需要处理。 //ANYUN.ORG

如果将上述三个方案都实现,XP保护方案将初具体系。

//内容来自安云网

当然,再加上几个简单猥琐的手段,效果更好。然后,参加比赛,邀江湖朋友帮助测评,对发现的问题改进完善后。 //内容来自AnYun.ORG

一个成熟的XP防护产品就这样出炉了。

//内容来自安云网

[作者:killer / [email protected],微信公众号:avplus ]

//内容来自安云网

//内容来自安云网

顶一下
(0)
0%
踩一下
(0)
0%
------分隔线----------------------------
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
验证码: 点击我更换图片
相关内容
推荐内容
  • The Debian Administrator’s Handbook,

    The Debian Administrator’s Handbook, 这本书是debian的两个开发者写出...

  • 微信4.0发布,加入朋友圈功能

    今天传说中的微信4.0版本终于发布并且推送了更新,一进入是新...

  • vijos中c的注意事项

    昨天没事发现了一个叫vijos的类似judgeonline的网站,也许是我火星...

  • falcon编译出错问题

    ...

  • 教你破解xp系统administrator权限

    作者:Awolf 首发:AwolfS Security Blog 一.事情起因 那天满头大汗的...

  • Linux环境下UglifyJS安装

    Linux环境下UglifyJS安装 1.1.   安装 Node.js [[email protected] src]# wget http...