Re: 大家對於ISS的RealSecure Desktop Protector的評價如何?

看板NetSecurity (資安資訊安全)作者EIPhunter.時間20年前 (2004/08/10 02:01)推噓0(0推 0噓 0→)

留言0則, 0人參與討論串3/5 (看更多)

==> 在 Old.bbs@bbs.csie.ncku.edu.tw (體驗.緣分) 的文章中提到: > ※ 引述《EIPhunter.bbs@bbs.cis.nctu.edu.tw (Intel的NX技術?? )》之銘言： > > 最近對這套軟體蠻有興趣的 > > 它的相關功能和性能我已略有所知(不過都是官方說法啦~~~) > > 不知這裡有哪些好漢曾使用過或鑽研過它?? 對它的評價如何?? 首先非常感謝您回覆我這篇文章我還以為都沒人要理我...... 記得2002年時我為了跟人爭論不可執行堆疊的東西曾經大鬧這個版..... 真是抱歉 ^^" > 這套整合Client 與 Server端全程監控..固然是好!! > 但是...在應用程式保護部份.只允許執行合法的程式..這可能會造成client > 反彈..因為或許對方需要某一些程式!! > 如果貴公司對於安全方面非常的考究.可以嚴厲執行!!這當然是好的!! ^^^^^^ 哈哈您誤會了我不是什麼公司我只有我一個人而已 ^^ 我本身是有在學一些網路安全的東西只不過都是FreeBSD和Linux上的 windows上的我都是道聽塗說 > 可是現在很多惡意程式都是用合法的手段去掩飾非法!!.. > 比如說...換掉IExplorer... ^^^^^^^^^^^^^ > 我連到Server端的80 port..我送出資訊的時候..我遵循一般80封包的規格去傳送 ^^^^^^^^^^^^^^^^^^^^^^ > 我需要的資訊...那請問..這套軟體會擋嗎? 嗯這部分我想您可能還沒有仔細看過ISS的官方說法(還有一些資安方面的雜誌) 他們說無論哪種連線(正常and不正常,對內and對外)和無論是否由合法的程式所發出的連線都會經過通訊協定分析和攻擊特徵比對來決定是否放行所以你提到關於 80 port的問題應該難不倒RDP....... ---> 不過誰知是真是假?? 而且如我所講的他們說RDP會為EXE, COM, DLL建立基準並監控修改, 執行, 網路連線動作如果不符合基準會有警示並詢問下一步要做啥所以您說的關於換掉IE 的作法應該也難不倒RDP(這就要看使用者了......) ---> 不過誰知是真是假?? ^^ 不過我倒是聽過一種手法可以繞過很多防火牆不過這些東西相關的基礎理論我並不懂在此提出來同時也希望能拋磚引玉: 注入DLL的方法: 首先使用VirtualAllocEx函數, 在遠端的行程的位址空間中, 配置一塊記憶體, 使用WriteProcessMemory函數, 將惡意的程式拷貝到VirtualAllocEx 所配置的記憶體中, 使用 CreateRemoteThread函數, 建立一個遠端行程中的執行緒 ,讓這個執行緒可以呼叫到我們惡意的程式 **************************************************************************** 上面這個跟Linux上的Ptrace手法很像的方法從" 字面 "上看來就有許多好處: 第一它只是呼叫了兩個似乎是合法且" 不具敏感性 "的函數接著把惡意程式(比方說:shellcode....等)拷貝到遠端配置的記憶體中在透過網路傳送的過程中也許可以利用我提到的Linux上的S-ploy這個encoder所用的類似技術來把常見的shellcode(如 Aleph1寫的那個)或shellcode其中的某些關鍵字串如: \xeb, \x1f, \x80, \x90, \x40 ....等等轉換成全然不同的字串(不知這樣RDP能否偵測到...) 第二利用由 CreateRemoteThread所建立的執行緒來執行我們的惡意程式並沒有修改遠端系統的程式繞過檔案修改也不是由" 遠端系統程式來執行我們的惡意程式 " 是由遠端某個行程(還不見得是和該檔案相關的行程哩~~)所建立的執行緒來執行惡意程式所以也繞過檔案執行只是不知道這種手法是否能和Linux上的Ptrace一樣在執行完我們插入的惡意指令後還能" 完美的回復原本的行程並使其正常的繼續運行 " 這和 Intel x86架構上傳統的覆寫EIP 破壞程式原本的運作來執行我們的惡意程式有所不同而不破壞行程或程式原本" 合法 "的運行而達到攻擊目的手法理論上(事實上是我胡亂猜測 ^^")似乎有可能可以繞過某些運用" 行為攔截技術 "的安全軟體因為根據我使用的一些相關軟體的"試用版" 在" 外表上 "看起來它們的運作方式就是把要檢測的程式丟進一個" sandbox " 讓程式在sandbox限制的環境下執行看看看看 " 執行完 "後的結果是否違反安全政策(如: 建立連線, 修改, 寫入, 刪除檔案 ---> 尤其是某些Registry值) 若違反政策則阻擋它" 真實 "的執行動作若符合則讓該程式真正執行所以如果我們可以讓惡意程式的執行在中途就完成且消失無蹤後回復原本的合法執行動作就有可能躲過最終安全政策的比對而繞過該安全防護 **************************************************************************** 以上用 * 號框起來的部分全部都是我個人在純理論上的"猜測" 請不要問我實際程式設計上的細節(因為我也還在想...)甚至是哪裡可以找到這樣的工具 ----> 我最討厭只會用工具而啥都不懂的小鬼!!! 只是想知道類似的技術會不會難倒RDP 如果有任何荒謬錯誤的地方還請各位前輩多多批評指正 ^^" > 很難吧...真的很難..因為這是用合法的..去做非法的事情!! > 除非..你限制對方不要上網不管是哪裡都不行(包含使用Proxy)!! > 這樣就是封閉的Lan不開放!! > 那最後評價是怎樣...其實目前入侵偵測的產品非常的多..誤判比率不低!!.. ^^^^^^^^^^^^ ISS的官方說法: 我們運用了" 關連式分析 " 交叉比對出真正的威脅所以誤報率也"號稱"是業界中最低的 ---> 我還聽說它們還不是用一般的統計學方法來比對至於到底在搞什麼名堂? 及是真是假? 我也不知道..... > IT人員會疲於奔命!!Why??因為本身設定不夠周詳.或者太嚴謹!! > 這套軟體所寫的功能..其實也算是很不錯ISS嘛... > 但是你會發現..有時候..如果可以禁止User做某一些事情..除非內賊!!.. > 會比買這套軟體還要更好!! > 道高一此魔高兩仗!!... ^^^^^^^^^^^^^^^^^^ 這話說得真好阿對"道"來說也真是無奈....... > 所謂的駭客..不只是坐在電腦前面駭..你要確定..他們沒到你公司嗎?? > 而那些軟綿綿的蟲..真的只會發大量封包去做感染癱瘓的動作嗎?? > 有時候不需要大量封包..簡單的也可以造成癱瘓!! > 而且..一附在某一些Widnows核心程式內!!...可有你搞的!! ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ 這也就是我為何比較喜歡HIDS(主機型IDS)的原因因為它可以根據不同系統的核心特性, 不同的架構(如:Intel x86和 Sun Sparc) 設計出許多有趣的偵測和防護機制這比一昧講究蒐集和分析比對的NIDS(網路型IDS)好玩多了~ 只是維護的時間和金錢上的成本比NIDS高了許多.... > ...... -- * Post by EIPhunter from 61-226-102-51.dynamic.hinet.net * Origin: ★ 交通大學資訊科學系 BBS ★ <bbs.cis.nctu.edu.tw: 140.113.23.3>