• <ins id="pjuwb"></ins>
    <blockquote id="pjuwb"><pre id="pjuwb"></pre></blockquote>
    <noscript id="pjuwb"></noscript>
          <sup id="pjuwb"><pre id="pjuwb"></pre></sup>
            <dd id="pjuwb"></dd>
            <abbr id="pjuwb"></abbr>
            <2008年10月>
            2829301234
            567891011
            12131415161718
            19202122232425
            2627282930311
            2345678

            統(tǒng)計(jì)

            • 隨筆 - 44
            • 文章 - 0
            • 評(píng)論 - 86
            • 引用 - 0

            常用鏈接

            留言簿(6)

            隨筆分類(31)

            隨筆檔案(44)

            Mining

            最新隨筆

            搜索

            •  

            最新評(píng)論

            閱讀排行榜

            評(píng)論排行榜

            ie 攻擊監(jiān)測

            對ie 的攻擊分好幾類, 有修改主頁, 彈出窗口, 惡意插件, 網(wǎng)頁木馬等. 其中一些是利用了ie 的腳本的自帶功能, 而另外一些要對ie 實(shí)施攻擊后才能做到, 主要手段有利用第三方軟件漏洞, ie 堆噴射等, 文章 [ [JavaScript中的堆風(fēng)水]|[ http://www.team509.com/download/Heap%20Feng%20Shui%20in%20JavaScript_en_cn.htm ] ] 對堆噴射進(jìn)行了介紹, 主要是利用覆蓋函數(shù)返回地址或者對象的虛函數(shù)表來執(zhí)行shellcode, 主要涉及到ie & 系統(tǒng)的內(nèi)存管理.
            一般shellcode 基本只完成攻擊動(dòng)作, 具體的對系統(tǒng)的后續(xù)攻擊肯定離不了下載執(zhí)行 exe 文件等動(dòng)作, 并且在攻擊ie 也會(huì)有各種癥狀, 可以根據(jù)這些基本實(shí)現(xiàn)惡意代碼.

            1. 根據(jù)ie 癥狀
            當(dāng)ie 訪問惡意頁面的遭受攻擊時(shí), 其重要表現(xiàn)是
            a. 內(nèi)存使用
            b. cpu 使用率
            所以實(shí)時(shí)監(jiān)測這些參數(shù)可以基本判斷是否有攻擊


            2. 根據(jù)行為
            shellcode 如果被執(zhí)行, 那么肯定會(huì)進(jìn)行木馬下載執(zhí)行等步驟. 一般純shellcode 里面的內(nèi)容不會(huì)很多, 所以不可能完成很多復(fù)雜的攻擊.
            win32 創(chuàng)建進(jìn)程的API調(diào)用串是:
            WinExec/ShellExecuteA/CreateProcessA->CreateProcessInternalA->CreateProcessInternalW->ZwCreateProcessEx

            CreateProcessW->CreateProcessInternalW->ZwCreateProcessEx

            win32 要執(zhí)行下載的API 主要是wsock32.dll 的
            recv , recvfrom

            所以對上述API 進(jìn)行攔截, 一般可以檢測到是否有ie 是否被攻擊, 但是這個(gè)只能在攻擊成功后, shellcode 執(zhí)行后才能被檢測到

            3.
            攔截一些操作注冊表, 創(chuàng)建窗口等API , 可以做到防止被修改主頁, 彈出窗口等

             

            利用ms 的Detours 可以很容易的實(shí)現(xiàn)對系統(tǒng) API 的hook
            http://blog.csdn.net/hu0406/archive/2008/03/05/2150358.aspx
            http://blog.csdn.net/hu0406/archive/2008/03/05/2150351.aspx
            http://www.moon-soft.com/doc/2288.htm
            http://blog.csdn.net/dedodong/archive/2006/10/07/1323925.aspx

            [ [JavaScript中的堆風(fēng)水]|[ http://www.team509.com/download/Heap%20Feng%20Shui%20in%20JavaScript_en_cn.htm ] ] ie 堆噴射

            [ [也聊inline-hook]|[ http://blog.tom.com/tigerkings941220/article/9211.html ] ] 介紹了 進(jìn)程自身保護(hù)(通過攔截LoadLibraryW)和IE漏洞防護(hù)(通過攔截CreateProcessInternalW)

            [ [maxthon2(遨游2) mxsafe.dll對網(wǎng)頁木馬的防護(hù)以及繞過]|[ http://hi.baidu.com/54nop/blog/item/b52cff6e713964d980cb4a9e.html ] ] 討論了maxthon2 防止網(wǎng)頁木馬的策略( 攔截 ZwCreateProcessEx/ZwCreateProcess, ZwWriteVirtualMemory, LoadLibraryExW, CreateProcessInternalW )以及對抗策略, 其實(shí)這個(gè)只是hook & unhook 的游戲了..

            [ [小議PE病毒技術(shù)]|[ http://blog.vckbase.com/windowssky/archive/2007/04/17.html ] ] 介紹了 pe 病毒 & win32 進(jìn)程加載內(nèi)部

            [ [360安全衛(wèi)士程序員志愿者]|[ http://blog.csdn.net/dedodong/archive/2006/10/07/1323925.aspx ] ] 通過攔截 NtCreateProcessEx/NtCreateProcess 實(shí)現(xiàn)了"""編寫一個(gè)程序,在此程序中運(yùn)行a.exe,并使得a.exe認(rèn)為是由explorer.exe運(yùn)行它的"""

            [ [阻擊惡意軟件--清除和保護(hù)你的網(wǎng)站的小技巧]|[ http://www.googlechinawebmaster.com/labels/badware.html ] ] google 上的對惡意軟件(badware) 的介紹

            [ [StopBadware Blog]|[ http://blogs.stopbadware.org/articles/2007/11 ] ]


             

            posted on 2008-04-18 19:49 泡泡牛 閱讀(1939) 評(píng)論(1)  編輯 收藏 引用 所屬分類: Develop

            評(píng)論

            # re: ie 攻擊監(jiān)測 2008-04-18 19:53 cppexplore

            HijackThis.exe
            久久99热这里只有精品国产| 久久精品国产精品亚洲下载| 日韩精品久久久久久久电影| 久久se这里只有精品| 久久午夜福利电影| 国产精品亚洲综合久久| 99久久精品毛片免费播放| 精品久久久久久无码国产| 色综合久久最新中文字幕| 99久久综合狠狠综合久久| 久久精品无码一区二区日韩AV | 国产精品99久久精品| 久久久精品国产亚洲成人满18免费网站 | 午夜精品久久久内射近拍高清| 国产精品99久久久久久宅男小说| 国产精品一区二区久久| 亚洲精品无码久久不卡| 色综合久久久久综合体桃花网| 国产精品一久久香蕉国产线看 | 久久夜色撩人精品国产| 国产精品久久久久久久| 亚洲级αV无码毛片久久精品| 久久黄视频| 亚洲中文字幕无码久久精品1| 久久精品国产一区二区| 久久人人爽人人精品视频| 国产精品无码久久久久| 久久久久久极精品久久久 | 少妇被又大又粗又爽毛片久久黑人| 久久综合九色综合久99| 嫩草伊人久久精品少妇AV| 久久久这里有精品| 欧美与黑人午夜性猛交久久久| 久久精品无码专区免费| 久久国产精品无| 国产精品久久国产精麻豆99网站| 91久久香蕉国产熟女线看| 一本久久精品一区二区| 99久久人妻无码精品系列蜜桃| 婷婷综合久久狠狠色99h| 少妇熟女久久综合网色欲|