Killer：小解XP攻防技术

bambooslip

Killer：小解XP攻防技术
killer / 63229@qq.com

前阵子吹了要把我们海外产品杀回来参加XP攻防，心里一直是忐忑的。
XP攻防这事如果要做好，比较有挑战性。它一方面的确有技术门栏。国内外安全厂商这么多，也没有几个真把这个做好的。另外一方面需要研发的同学有良好的安全背景。
于是这段时间，捡起尘封多年的江湖手艺，恶补了几天漏洞分析利用的相关知识。
有一些不了解的朋友可能会问，XP保护，是不是就打开系统防火墙，配置规则，再弄几个安全策略？
事实上完全不是这样的。
就XP保护技术来说，可以分为几个层面：
1、溢出保护
溢出保护就是给黑客在利用漏洞的过程中制造点麻烦。
微软在操作系统层面实现了一些漏洞利用的防护技术，主要体现在Win7之后，同时微软有一个独立的名为EMET（Enhanced Mitigation Experience Toolkit）的工具，也实现了一些溢出保护技术。包括DEP、ASLR等等，想了解溢出保护技术可以去看一下。
在常见给黑客捣乱的技术中，ASLR效果比较明显，如果能实现ASLR，基本上MSF中默认的各种IE漏洞都无法攻破系统，MSF是展示工具，针对XP的攻击利用并没有针对ASLR做绕过处理。
不过，仅实现了ASLR并不能真正解决问题，黑客们还有各种漏洞利用方式来入侵XP系统，所以溢出保护就要尽量覆盖到各种利用方式与技巧，包括不限于下面这些：
DEP、ASLR、VDM、Sehop、Nullpage、ROP、heapspray、ROP-I等等。
看起来很全了，不过这还是有问题，比如有人发现全新的利用方法，或者对现有利用方法进行修改。如果我们不知道，依然没有办法防御。或者即使知道了，但是防御成本很高，尤其是一些利用方式，配合一些奇葩的漏洞很难防，这个时候，就需要下面的办法了。
2、热补丁
热补丁就是我们对微软不提供补丁的漏洞进行动态修补，就是我们对微软的一些“有特点”的老漏洞进行二次加固。
具体上说，我们需要实现一个hotpatch架构，理想的情况是在内核层搞，如果为了快速参与评测也可以在应用层搞，通过对目标进程进行动态修补，或二次验证来解决一些特殊漏洞利用的问题。
这个需要处理的漏洞数量不多，不过需要比较有经验的人跟进，输出处理列表与处理方法。
3、应用隔离
通过上面两个部分，我们可以遏制住大多数漏洞的利用。假使做的比较好，是不是就一定能防住黑客入侵？
不见得，你就算能防100种攻击手法，只要遗漏一种，系统依然会被攻破。
所以我们可以通过应用隔离做一层加固，假定黑客即使利用成功，入侵电脑，我们把黑客限定在一个区域，使得黑客无法访问我们的重要数据，不影响我们的其他应用，这样依然保护了我们的电脑。
这个技术简单说就是沙箱，通过将不可信或风险应用在沙箱中打开、运行，从而规避可能对系统的伤害。在XP保护体系中，沙箱可以实现前面的保护措施被穿透后的数据保护。
不过，沙箱自身的防穿透保护也是一个问题，沙箱看起来美好，实现起来比较复杂，工作量比较大。从攻防的角度来看，沙箱就不单纯是进程、文件、注册表的隔离，需要处理的地方很多，江湖上流传各种五花八门的穿透思路都需要处理。
如果将上述三个方案都实现，XP保护方案将初具体系。
当然，再加上几个简单猥琐的手段，效果更好。
然后，参加比赛，邀江湖朋友帮助测评，对发现的问题改进完善后。
一个成熟的XP防护产品就这样出炉了。
------------
我的公众号：avplus

vdmcontrol

传说让人笑掉大牙的VDM来了，不懂装懂成这样看下别人做得开关就出来胡扯要做防护的也真是奇葩到极点了

a461292126

又是keller    不想说什么了。、

ELOHIM

貌似一篇微信上面说的就是这些东西

fuzhk

就是那个网关等设备用杀软？

菊部地区有血

某60随便一个人都能把Killer秒的渣都不剩

vdmcontrol

菊部地区有血 发表于 2014-9-24 20:06
某60随便一个人都能把Killer秒的渣都不剩

这种纯混子何来秒不秒。。

guo614049659

貌似一篇微信上面说的就是这些东西

飞翔病毒

这是？谁？腾讯还是金山

Magee

飞翔病毒 发表于 2014-9-25 20:58
这是？谁？腾讯还是金山

这不是前超巡的创始人吗?? 应该是百度吧.