簡述一些常用的名詞解釋:
挖洞的話,就相當於在程序中查找漏洞,舉一個不大恰當但容易理解的比喻,就像韓非子說所的那個自相矛盾的故事:楚國有個人自稱自己的矛是世界上最鋒利的矛,沒有什麼盾牌它刺不破,同時又說自己的盾是世界上最堅固的盾,沒有什麼矛能刺破它,雖然兩句話在語法上並沒有什麼不妥,但卻有個致命的邏輯漏洞,因為用他的矛刺他的盾,將導致“不可預知”的結果,當然了,在程序中這種“不可預知”的結果往往會導致各種問題,崩潰或執行非預期功能都有可能,這個就是漏洞了。
再來說說後門,這個很好比喻,就像是警匪片中的臥底或者是笑傲江湖中的嶽不群,表面上做一套,背地裡做另一套。在軟件中就是這個軟件提供給你了你需要的功能,但在背後它可能偷偷摸摸地幹了一些你不想他乾的事,例如竊取你電腦上的文件。
此攻擊技術披露後,360安全衛士主動防禦體系進行了緊急升級,對Process Doppelgänging的諸如和進程創建等攻擊行為進行了多維度攔截,完美破解了攻擊的“反偵察”技術,為用戶實現了貼身保護。
圖1
攻擊原理
微軟從Windows Vista開始支持NTFS Transaction(TxF),最初的目的是用於文件升級和分佈協同(Distributed Transaction Coordinator,DTC)等場景,可以回滾修改操作。Process Doppelgänging攻擊利用TxF的可以回滾的特性,(1)先用惡意程序寫覆蓋白程序,(2)然後將覆蓋後的文件加載到內存,(3)加載完成後回滾磁盤上的文件為寫覆蓋之前的文件,(4)最後利用(2)加載到內存中的Section創建進程,最終達到執行惡意程序並繞過殺軟檢查的目的。
攻擊過程
中國黑客協會創始人 花無涯
首先創建一個事務:
圖2
將白程序文件添加到這個事務:
圖3
用惡意程序覆蓋:
圖4
加載到內存:
圖5
回滾事務:
圖6
最後利用內存中的Section創建進程:
圖7
攻擊效果
該攻擊方式可以繞過國外主流防護軟件。
圖8
360安全衛士防禦升級
360安全衛士針對此攻擊方式,進行了防護強化,增加了多維度的保護,對攻擊的注入和進程創建行為均進行攔截,保護用戶電腦安全。
圖 9
閱讀更多 黑客與編程 的文章
