==> 在 [email protected] (体验.缘分) 的文章中提到: > ※ 引述《[email protected] (Intel的NX技术?? )》之铭言： > > 最近对这套软体蛮有兴趣的 > > 它的相关功能和性能我已略有所知(不过都是官方说法啦~~~) > > 不知这里有哪些好汉曾使用过或钻研过它?? 对它的评价如何?? 首先非常感谢您回覆我这篇文章 我还以为都没人要理我...... 记得2002年时我为了跟人争论不可执行堆叠的东西曾经大闹这个版..... 真是抱歉 ^^" > 这套整合Client 与 Server端全程监控..固然是好!! > 但是...在应用程式保护部份.只允许执行合法的程式..这可能会造成client > 反弹..因为或许对方需要某一些程式!! > 如果贵公司对於安全方面非常的考究.可以严厉执行!!这当然是好的!! ^^^^^^ 哈哈 您误会了 我不是什麽公司 我只有我一个人而已 ^^ 我本身是有在学一些网路安全的东西 只不过都是FreeBSD和Linux上的 windows上的我都是道听涂说 > 可是现在很多恶意程式都是用合法的手段去掩饰非法!!.. > 比如说...换掉IExplorer... ^^^^^^^^^^^^^ > 我连到Server端的80 port..我送出资讯的时候..我遵循一般80封包的规格去传送 ^^^^^^^^^^^^^^^^^^^^^^ > 我需要的资讯...那请问..这套软体会挡吗? 嗯 这部分我想您可能还没有仔细看过ISS的官方说法(还有一些资安方面的杂志) 他们说无论哪种连线(正常and不正常,对内and对外)和无论是否由合法的程式所发 出的连线都会经过通讯协定分析和攻击特徵比对来决定是否放行 所以你提到关於 80 port的问题应该难不倒RDP....... ---> 不过谁知是真是假?? 而且如我所讲的 他们说RDP会为EXE, COM, DLL建立基准并监控修改, 执行, 网路 连线动作 如果不符合基准会有警示并询问下一步要做啥 所以您说的关於换掉IE 的作法应该也难不倒RDP(这就要看使用者了......) ---> 不过谁知是真是假?? ^^ 不过我倒是听过一种手法 可以绕过很多防火墙 不过这些东西相关的基础理论我 并不懂 在此提出来同时也希望能抛砖引玉: 注入DLL的方法: 首先使用VirtualAllocEx函数, 在远端的行程的位址空间中, 配置 一块记忆体, 使用WriteProcessMemory函数, 将恶意的程式拷贝到VirtualAllocEx 所配置的记忆体中, 使用 CreateRemoteThread函数, 建立一个远端行程中的执行绪 ,让这个执行绪可以呼叫到我们恶意的程式 **************************************************************************** 上面这个跟Linux上的Ptrace手法很像的方法从" 字面 "上看来就有许多好处: 第一它只是呼叫了两个似乎是合法且" 不具敏感性 "的函数 接着把恶意程式(比方 说:shellcode....等)拷贝到远端配置的记忆体中 在透过网路传送的过程中也许可以 利用我提到的Linux上的S-ploy这个encoder所用的类似技术来把常见的shellcode(如 Aleph1写的那个)或shellcode其中的某些关键字串如: \xeb, \x1f, \x80, \x90, \x40 ....等等转换成全然不同的字串(不知这样RDP能否侦测到...) 第二利用由 CreateRemoteThread所建立的执行绪来执行我们的恶意程式 并没有修改远端系统的 程式 绕过档案修改 也不是由" 远端系统程式来执行我们的恶意程式 " 是由远端 某个行程(还不见得是和该档案相关的行程哩~~)所建立的执行绪来执行恶意程式 所以 也绕过档案执行 只是不知道这种手法是否能和Linux上的Ptrace一样 在执行完我们 插入的恶意指令後 还能" 完美的回复原本的行程并使其正常的继续运行 " 这和 Intel x86架构上传统的覆写EIP 破坏程式原本的运作 来执行我们的 恶意程式有所不同 而不破坏行程或程式原本" 合法 "的运行而达到攻击目的手法 理论上(事实上 是我胡乱猜测 ^^")似乎有可能可以绕过某些运用" 行为拦截技术 "的安全软体 因为根据我使用的一些相关软体的"试用版" 在" 外表上 "看起来它们的运作方式就是 把要检测的程式丢进一个" sandbox " 让程式在sandbox限制的环境下执行看看 看看 " 执行完 "後的结果是否违反安全政策(如: 建立连线, 修改, 写入, 删除档案 ---> 尤其是某些Registry值) 若违反政策则阻挡它" 真实 "的执行动作 若符合则 让该程式真正执行 所以如果我们可以让恶意程式的执行在中途就完成且消失无踪後 回复原本的合法执行动作 就有可能躲过最终安全政策的比对而绕过该安全防护 **************************************************************************** 以上用 * 号框起来的部分全部都是我个人在纯理论上的"猜测" 请不要问我实际程式 设计上的细节(因为我也还在想...)甚至是哪里可以找到这样的工具 ----> 我最讨厌只会用工具而啥都不懂的小鬼!!! 只是想知道类似的技术会不会难倒RDP 如果有任何荒谬错误的地方还请各位前辈多多批评指正 ^^" > 很难吧...真的很难..因为这是用合法的..去做非法的事情!! > 除非..你限制对方不要上网不管是哪里都不行(包含使用Proxy)!! > 这样就是封闭的Lan不开放!! > 那最後评价是怎样...其实目前入侵侦测的产品非常的多..误判比率不低!!.. ^^^^^^^^^^^^ ISS的官方说法: 我们运用了" 关连式分析 " 交叉比对出真正的威胁 所以误报率也"号称"是业界中最低的 ---> 我还听说它们还不是用一般的统计学方法来比对 至於到底在搞什麽名堂? 及 是真是假? 我也不知道..... > IT人员会疲於奔命!!Why??因为本身设定不够周详.或者太严谨!! > 这套软体所写的功能..其实也算是很不错ISS嘛... > 但是你会发现..有时候..如果可以禁止User做某一些事情..除非内贼!!.. > 会比买这套软体还要更好!! > 道高一此魔高两仗!!... ^^^^^^^^^^^^^^^^^^ 这话说得真好阿 对"道"来说也真是无奈....... > 所谓的骇客..不只是坐在电脑前面骇..你要确定..他们没到你公司吗?? > 而那些软绵绵的虫..真的只会发大量封包去做感染瘫痪的动作吗?? > 有时候不需要大量封包..简单的也可以造成瘫痪!! > 而且..一附在某一些Widnows核心程式内!!...可有你搞的!! ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ 这也就是我为何比较喜欢HIDS(主机型IDS)的原因 因为它可以根据不同系统的核心 特性, 不同的架构(如:Intel x86和 Sun Sparc) 设计出许多有趣的侦测和防护机制 这比一昧讲究蒐集和分析比对的NIDS(网路型IDS)好玩多了~ 只是维护的时间和金钱上的成本比NIDS高了许多.... > ...... -- * Post by EIPhunter from 61-226-102-51.dynamic.hinet.net * Origin: ★ 交通大学资讯科学系 BBS ★ <bbs.cis.nctu.edu.tw: 140.113.23.3>