小解XP攻防技术

前阵子吹了要把我们海外产品杀回来参加XP攻防，心里一直是忐忑的。XP攻防这事如果要做好，比较有挑战性。它一方面的确有技术门栏。国内外安全厂商这么多，也没有几个真把这个做好的。另外一方面需要研发的同学有良好的安全背景。

于是这段时间，捡起尘封多年的江湖手艺，恶补了几天漏洞分析利用的相关知识。

有一些不了解的朋友可能会问，XP保护，是不是就打开系统防火墙，配置规则，再弄几个安全策略？事实上完全不是这样的。

就XP保护技术来说，可以分为几个层面：

1、溢出保护

溢出保护就是给黑客在利用漏洞的过程中制造点麻烦。

微软在操作系统层面实现了一些漏洞利用的防护技术，主要体现在Win7之后，同时微软有一个独立的名为EMET（Enhanced Mitigation Experience Toolkit）的工具，也实现了一些溢出保护技术。包括DEP、ASLR等等，想了解溢出保护技术可以去看一下。

在常见给黑客捣乱的技术中，ASLR效果比较明显，如果能实现ASLR，基本上MSF中默认的各种IE漏洞都无法攻破系统，MSF是展示工具，针对XP的攻击利用并没有针对ASLR做绕过处理。

不过，仅实现了ASLR并不能真正解决问题，黑客们还有各种漏洞利用方式来入侵XP系统，所以溢出保护就要尽量覆盖到各种利用方式与技巧，包括不限于下面这些：

DEP、ASLR、VDM、Sehop、Nullpage、ROP、heapspray、ROP-I等等。

看起来很全了，不过这还是有问题，比如有人发现全新的利用方法，或者对现有利用方法进行修改。如果我们不知道，依然没有办法防御。或者即使知道了，但是防御成本很高，尤其是一些利用方式，配合一些奇葩的漏洞很难防，这个时候，就需要下面的办法了。

2、热补丁

热补丁就是我们对微软不提供补丁的漏洞进行动态修补，就是我们对微软的一些“有特点”的老漏洞进行二次加固。

具体上说，我们需要实现一个hotpatch架构，理想的情况是在内核层搞，如果为了快速参与评测也可以在应用层搞，通过对目标进程进行动态修补，或二次验证来解决一些特殊漏洞利用的问题。

这个需要处理的漏洞数量不多，不过需要比较有经验的人跟进，输出处理列表与处理方法。

3、应用隔离

通过上面两个部分，我们可以遏制住大多数漏洞的利用。假使做的比较好，是不是就一定能防住黑客入侵？

不见得，你就算能防100种攻击手法，只要遗漏一种，系统依然会被攻破。

所以我们可以通过应用隔离做一层加固，假定黑客即使利用成功，入侵电脑，我们把黑客限定在一个区域，使得黑客无法访问我们的重要数据，不影响我们的其他应用，这样依然保护了我们的电脑。

这个技术简单说就是沙箱，通过将不可信或风险应用在沙箱中打开、运行，从而规避可能对系统的伤害。在XP保护体系中，沙箱可以实现前面的保护措施被穿透后的数据保护。

不过，沙箱自身的防穿透保护也是一个问题，沙箱看起来美好，实现起来比较复杂，工作量比较大。从攻防的角度来看，沙箱就不单纯是进程、文件、注册表的隔离，需要处理的地方很多，江湖上流传各种五花八门的穿透思路都需要处理。

如果将上述三个方案都实现，XP保护方案将初具体系。

当然，再加上几个简单猥琐的手段，效果更好。然后，参加比赛，邀江湖朋友帮助测评，对发现的问题改进完善后。

一个成熟的XP防护产品就这样出炉了。

‍‍[作者：killer / [email protected]，微信公众号：avplus ]‍‍