深度技术安全

1.1             网络恶意行为定义 write by winsunxu from uestc，i think this can construct a good auto analyse tools网络恶意行为是指网络系统的硬件、软件及其系统中的数据受到恶意代码攻击而遭到破坏、更改、泄露，致使系统不能连续可靠正常地运行，网络服务中断的行为。1.1             网络恶意行为归类随着信息化的普及，网络新应用的大量出现，网络恶意代码所表现出的行为也层出不穷，目前最流行的网络恶意行为是网页

GetAcceptExSockaddrs(                pBuffer->buff,                BUFFER_SIZE - 2*(sizeof(sockaddr_in) + 16),                sizeof(sockaddr_in) + 16,                sizeof(sockaddr_in) + 16,

感觉现在这种漏洞比较突出。METHOD_NEITHER中的输出buf为什么长度为0的时候要开发者自己去检查buf长度合不合理。虽然没去看windows源码，但是，个人感觉一个正常的用户有两种情况：1、buf长度为0，对应的驱动例程确实也没有输出2、buf长度不为0，对应的驱动例程确实有输出。当一个恶意的ring 3程序，朝2发DeviceIoControl(。。。，OutputBu

DAC机制：DAC(DiscretionalAccess Control，自主访问控制)，需要先了解下面三个概念：SID、Token和SD。1、SIDSecurity identifier，安全标识符，标识系统中执行各种动作的实体，用户，本地用户组，域中用户组

<br />Chrome采用的是多进程结构,进程类型主要有以下几种：<br />1）主进程：负责所有资源管理、系统交互，前者包括bookmark、cookie、history管理等；后者包括屏幕绘制、处理keyboard/mouse输入、internet连接等。不在Chrome的sandbox中运行。<br />2）web渲染进程：负责html解析、javascript执行、image decoding、页面布局等所有和网页相关的任务。所有的此类进程都强制在sandbox中运行。和用户、系统的联系不直接进行

今天HOOK D3D9中的SetMaterial发现出现堆栈失衡现象，后来研究发现是因为，对于如下的调用：HRESULT _stdcall SetMaterial(D3DMATERIAL9 *pMaterial);D3DMATERIAL9 mtrl;  ::ZeroMemory( &mtrl, sizeof(D3DMATERIAL9) );  mtrl.Diffuse.r = mtrl.Ambient.r = 1.0f;  mtrl.Diffuse.g = mtrl.Ambient.g = 1.0f;  m

1.2保护ActiveX控件遭受0day溢出攻击的方法1.2.1地址空间随机化简介<br />从上面的栈溢出实现的过程可知，攻击实现的关键是获得溢出指针(jmp esp指令的地址)，从而利用溢出指针实现跳转到shellcode。因为在windows系统中诸如kernel32.dll、user32.dll之类的动态链接库几乎被所有的进程加载，且加载基地址始终相同。攻击可以在自己的系统上搜索这些DLL中的类似jmp esp指令的地址，然后把它作为在目标系统中的溢出指针，就可以准确地实现溢出跳转。根据上面的分析可

<br />本文仅从反漏洞exploit、反调试和反逆向三个方面来阐述如何保护ActiveX控件的安全。<br />1、反0day攻击：<br />1.1  ActiveX控件所受的0day攻击威胁<br /><br /> 黑客通过对ActiveX控件进行逆向分析，可以挖掘控件的漏洞信息，从而对具有溢出漏洞的ActiveX控件实施0day攻击。虽然溢出攻击采取的形式有很多而且不一样，但是采取的攻击过程是一样的，都是构造精确的shellcode，然后触发包含有漏洞的代码接收shellcode，并实现跳转。<b

<br />1、TDI HOOK<br /> TDI Client利用TDI接口，向TDI Server发送IRP(I/O Request Packet)请求包，来获得TDI Server提供的服务。因此，可以利用分层驱动原理[5]，在TDI Client和TDI Server驱动之间加一层过滤驱动－FilterDriver.sys。对于TCP/IP协议而言，在Windows网络协议体系结构中是由Tcpip.sys驱动实现的。Tcpip.sys创建了几个设备对象，/Device/RawIp，/Device/

淘宝安全团队高手关于信息安全发展的看法，很有启迪！<br />我们在做什么？将走向何方？<br />2010-02-20 16:51“我们在做什么？将走向何方？”    <br />这本来是一个极具有哲学意味的命题，在读大学的时候，我的心理课程老师就专门给我们上过一堂这样的课。但今天在这里，我并不想探讨任何哲学或者人生的问题，只是想讲讲我对甲方安全发展方向的一些理解。对面临就业选择的朋友来说，可以作为一个参考。<br /><br />甲方在这里就是指安全不是核心业务的企业，比如google，比如apple；

<br /><br />BOOL DuplicateHandle(    HANDLE hSourceProcessHandle,     HANDLE hSourceHandle,    HANDLE hTargetProcessHandle,     PHANDLE phTargetHandle,     DWORD dwDesiredAccess,     BOOL bInheritHandle,    

<br />我翻译很早之前阅读过的一篇关于sysenter指令的文章<br />http://www.codeguru.com/cpp/w-p/system/devicedriverdevelopment/article.php/c8223/<br /><<System Call Optimization with the SYSENTER Instruction>><br />译文如下：<br /> 

<br />1、现有检测技术<br />1.1 特征码扫描<br /> <br /> 特征码扫描是检测已知恶意代码的最简单的方法，我在反外挂和反木马过程中，几乎每天要提各式病毒的特征。方法快速，简便，不过经验不足会造成严重后果。<br /> 早期的特征码扫描只检测可执行文件，其原理是打开被检测文件，扫描其中是否含有特征数据库中的恶意代码特征串，如果含有则判断该文件含有恶意代码。不过，在游戏反外挂中，提取内存特征，分节提取。其中特征数据库是在确定某个程序是恶意代码后，通过静态反汇编或动态调试，手工提取其中不同

<br />译文出处：http://www.codeguru.com/Cpp/W-P/system/devicedriverdevelopment/article.php/c8035/<br />Most texts that describe Windows NT system calls keep many of the important details in the dark. This leads to confusion when trying to understand exactly wha

<br />1、Image Patches(映像补丁)<br />修改内核模块比如ntoskrnl.exe，ndis.sys，ntfs.sys等的代码段<br />1.1、函数前导Hook<br />Intel架构下，控制转移指令有三种，分别是2字节的寄存器操作，5字节的相对偏移操作和6字节的内存操作。当然，我们有两种方式来实现这种inline hook：<br />1）用Microsoft的detour库<br />2）用一个长度反汇编引擎，字节构建<br />我自己实现过一个动态HOOK引擎，在我的即将

这几天写了个ring 3的IAT HOOK, 这个hook比起大多数hook的优点：1、IAT中的跳转块地址来源于代码节的空隙2、空隙的地址随机化但是，在测试的时候，老是遇到进入_chkesp函数的时候会出错，后来，发现是编译器/GZ的作用，在vc6中，只需要把/GZ关闭掉就可以解决这个问题。注意如果是一个exe和一个dll配合使用，两个都必须去掉