小解XP攻防技术

2014-09-18 243451人围观 ,发现 13 个不明物体 系统安全

前阵子吹了要把我们海外产品杀回来参加XP攻防,心里一直是忐忑的。XP攻防这事如果要做好,比较有挑战性。它一方面的确有技术门栏。国内外安全厂商这么多,也没有几个真把这个做好的。另外一方面需要研发的同学有良好的安全背景。

于是这段时间,捡起尘封多年的江湖手艺,恶补了几天漏洞分析利用的相关知识。

有一些不了解的朋友可能会问,XP保护,是不是就打开系统防火墙,配置规则,再弄几个安全策略?事实上完全不是这样的。

就XP保护技术来说,可以分为几个层面:

1、溢出保护

溢出保护就是给黑客在利用漏洞的过程中制造点麻烦。

微软在操作系统层面实现了一些漏洞利用的防护技术,主要体现在Win7之后,同时微软有一个独立的名为EMET(Enhanced Mitigation Experience Toolkit)的工具,也实现了一些溢出保护技术。包括DEP、ASLR等等,想了解溢出保护技术可以去看一下。

在常见给黑客捣乱的技术中,ASLR效果比较明显,如果能实现ASLR,基本上MSF中默认的各种IE漏洞都无法攻破系统,MSF是展示工具,针对XP的攻击利用并没有针对ASLR做绕过处理。

不过,仅实现了ASLR并不能真正解决问题,黑客们还有各种漏洞利用方式来入侵XP系统,所以溢出保护就要尽量覆盖到各种利用方式与技巧,包括不限于下面这些:

DEP、ASLR、VDM、Sehop、Nullpage、ROP、heapspray、ROP-I等等。

看起来很全了,不过这还是有问题,比如有人发现全新的利用方法,或者对现有利用方法进行修改。如果我们不知道,依然没有办法防御。或者即使知道了,但是防御成本很高,尤其是一些利用方式,配合一些奇葩的漏洞很难防,这个时候,就需要下面的办法了。

2、热补丁

热补丁就是我们对微软不提供补丁的漏洞进行动态修补,就是我们对微软的一些“有特点”的老漏洞进行二次加固。

具体上说,我们需要实现一个hotpatch架构,理想的情况是在内核层搞,如果为了快速参与评测也可以在应用层搞,通过对目标进程进行动态修补,或二次验证来解决一些特殊漏洞利用的问题。

这个需要处理的漏洞数量不多,不过需要比较有经验的人跟进,输出处理列表与处理方法。

3、应用隔离

通过上面两个部分,我们可以遏制住大多数漏洞的利用。假使做的比较好,是不是就一定能防住黑客入侵?

不见得,你就算能防100种攻击手法,只要遗漏一种,系统依然会被攻破。

所以我们可以通过应用隔离做一层加固,假定黑客即使利用成功,入侵电脑,我们把黑客限定在一个区域,使得黑客无法访问我们的重要数据,不影响我们的其他应用,这样依然保护了我们的电脑。

这个技术简单说就是沙箱,通过将不可信或风险应用在沙箱中打开、运行,从而规避可能对系统的伤害。在XP保护体系中,沙箱可以实现前面的保护措施被穿透后的数据保护。

不过,沙箱自身的防穿透保护也是一个问题,沙箱看起来美好,实现起来比较复杂,工作量比较大。从攻防的角度来看,沙箱就不单纯是进程、文件、注册表的隔离,需要处理的地方很多,江湖上流传各种五花八门的穿透思路都需要处理。

如果将上述三个方案都实现,XP保护方案将初具体系。

当然,再加上几个简单猥琐的手段,效果更好。然后,参加比赛,邀江湖朋友帮助测评,对发现的问题改进完善后。

一个成熟的XP防护产品就这样出炉了。

[作者:killer / 63229@qq.com,微信公众号:avplus ]

更多精彩
相关推荐

这些评论亮了

  • 黑哥哥 回复
    安全焦点的killer都不知道,你们怎么混的
    )16( 亮了
发表评论

已有 13 条评论

取消
Loading...
killer

超级巡警系列产品创始人

3 文章数 1 评论数 0 关注者

特别推荐

文章目录

    文章目录

      推荐关注

      官方公众号

      聚焦企业安全

      活动预告

      填写个人信息

      姓名
      电话
      邮箱
      公司
      行业
      职位
      css.php