论文部分内容阅读
“溢出”在计算机领域是一个非常重要的概念,而在安全领域,“溢出”往往意味着风险和漏洞,近期的GDI+、MS08067漏洞,甚至几年前的“冲击波”、“震荡波”等病毒,就是溢出漏洞的“杰出作品”,今天我们就来揭开“溢出漏洞”的面纱。
溢出的原理
如果用一个木桶来装水,装满以后水就会流出来。同样的道理,在计算机内部中输入的数据,通常被存放在一个临时空间内,这个临时存放空间就称为Windows系统的“缓冲区”,缓冲区的长度事先已经被程序或者操作系统定义好了。缓冲区就很像那个木桶,用来装东西而且大小已经被固定。
如果向缓冲区内填充数据的长度很长,超过了缓冲区本身的容量,那么结果就如同水流—样,数据也会溢出存储的空间内部。装不下的水会流到地面上,而装不下的数据则会覆盖在合法数据上,这就是“缓冲区溢出”。理想的情况下,程序检查每个数据的长度,并目不允许超过缓冲区的长度。但有些程序会假设,数据长度总是与所分配的存储空间相匹配,因此不作检查,从而为缓冲区溢出埋下隐患。
溢出的数据会覆盖掉系统中任何的数据、指针或内容表面看上去除了数据破坏之外,并不会有其他的实际作用。但是黑客往往可以在溢出的数据中加入指令,如果这些指令被溢出到内存中的执行区域(核心区),那么计算机就会执行溢出部分的任何命令。
溢出攻击的基本模式
溢出攻击主要分为远程溢出和本地溢出两种。“本地溢出”造成的后果就是,普通的用户可以利用漏洞,进行账户权限的提升以获得更多的操作权限。而远程溢出的后果则是被黑客远程控制。所以说远程溢出攻击的危害要比本地溢出高许多。
前面提到要进行溢出攻击,需要精心构造一段数据,而该数据通常称之为ShellCode,它实际上就是一组可以完成黑客想要获得的功能的机器代码。这些代码通常都是以十六进制的数组形式存在的。最常见的ShellCode执行结果,就是打开一个远程的命令提示符窗口。然后黑客就可以在该窗口里面,通过FTP、TftP等命令上传木马程序并执行,最终达到远程控制该计算机的目的。
溢出攻击是当前最流行的一种攻击手段,因为这种方法不但可以对个人电脑进行攻击,还可以对某些服务器进行攻击。除此以外,溢出攻击在操作使用上也非常简单,任何人只需要利用黑客编写的攻击程序,就可以轻易获得一台计算机系统的控制权限,这也是溢出攻击泛滥的原因。
溢出攻击的防范
最简单最有效的方法当然是第一时间安装漏洞的安全补丁。如果一用户不方便补丁安装,也可以使用金山清理专家、360安全卫士、第三方软件来修复漏洞。另外,防火墙也相当重要。必须定期对开放端口和程序进行排查。
病毒急救站
病毒名称:图片杀手
病毒类型:数据破坏类病毒
病毒目的:破坏系统设置,感染程序图片
病人:弹出色情王爷信息
今天帮助一个朋友检测系统,发现当连接到互联网以后,浏览器会自动打开大量的色情网页。除此之外我还发现,系统中所有的图片都被病毒破坏,而且除C盘之外其他磁盘的程序也被感染。请问这是“磁碟机”病毒重生还是新的病毒啊?
病毒:弹出广告来刷流量
其实我并不喜欢别人叫我“病毒”,因为我的目的是弹广告来刷流量。不过为了更好地“工作”,我还是进行了很多的破坏性操作。比如首先通过检查窗口,如果窗口名称与其列表中的安全软件名称同名,则发送消息来关闭该程序的窗口,这样会令杀毒软件不能正常工作,接着修改注册表中的信息,从而破坏系统的安全模式。
当我加载成功以后会遍历并修改除C盘之外的其他驱动器存在的图片文件。然后我会尝试改写除C盘之外,其他磁盘分区内的所有EXE文件,将文件头部重新写为病毒的数据,这样虽有的可执行文件就被破坏。另,我还会搜索后缀为GHO的文件,如果发现这些文件就将它们删除。这样用户想通过Ghost程序来还愿系统也就不可能了。
当做完上面的这些操作以后,我就会调用系统默认的网页浏览器,自动连接到设置的色情网站。这样随着网站访问量的增加,我的主人的收入也会随之增加。
医生:数据破坏病毒再现
这是一款近来非常少见的数据破坏类病毒,因此大家一定要提高警惕。如果用户不幸中了该病毒,你们下载金山独霸推出的专杀工具,对该病毒进行快速的查杀。如果系统已经感染该病毒,第一次运行专杀工具会有重新启动系统。重新启动以后,专杀工具就会开始查杀。清楚完成以后再利用杀毒软件对整个磁盘进行一次彻底的扫描,最后使用“金山清理专家”来完成注册破坏项的修复。
溢出的原理
如果用一个木桶来装水,装满以后水就会流出来。同样的道理,在计算机内部中输入的数据,通常被存放在一个临时空间内,这个临时存放空间就称为Windows系统的“缓冲区”,缓冲区的长度事先已经被程序或者操作系统定义好了。缓冲区就很像那个木桶,用来装东西而且大小已经被固定。
如果向缓冲区内填充数据的长度很长,超过了缓冲区本身的容量,那么结果就如同水流—样,数据也会溢出存储的空间内部。装不下的水会流到地面上,而装不下的数据则会覆盖在合法数据上,这就是“缓冲区溢出”。理想的情况下,程序检查每个数据的长度,并目不允许超过缓冲区的长度。但有些程序会假设,数据长度总是与所分配的存储空间相匹配,因此不作检查,从而为缓冲区溢出埋下隐患。
溢出的数据会覆盖掉系统中任何的数据、指针或内容表面看上去除了数据破坏之外,并不会有其他的实际作用。但是黑客往往可以在溢出的数据中加入指令,如果这些指令被溢出到内存中的执行区域(核心区),那么计算机就会执行溢出部分的任何命令。
溢出攻击的基本模式
溢出攻击主要分为远程溢出和本地溢出两种。“本地溢出”造成的后果就是,普通的用户可以利用漏洞,进行账户权限的提升以获得更多的操作权限。而远程溢出的后果则是被黑客远程控制。所以说远程溢出攻击的危害要比本地溢出高许多。
前面提到要进行溢出攻击,需要精心构造一段数据,而该数据通常称之为ShellCode,它实际上就是一组可以完成黑客想要获得的功能的机器代码。这些代码通常都是以十六进制的数组形式存在的。最常见的ShellCode执行结果,就是打开一个远程的命令提示符窗口。然后黑客就可以在该窗口里面,通过FTP、TftP等命令上传木马程序并执行,最终达到远程控制该计算机的目的。
溢出攻击是当前最流行的一种攻击手段,因为这种方法不但可以对个人电脑进行攻击,还可以对某些服务器进行攻击。除此以外,溢出攻击在操作使用上也非常简单,任何人只需要利用黑客编写的攻击程序,就可以轻易获得一台计算机系统的控制权限,这也是溢出攻击泛滥的原因。
溢出攻击的防范
最简单最有效的方法当然是第一时间安装漏洞的安全补丁。如果一用户不方便补丁安装,也可以使用金山清理专家、360安全卫士、第三方软件来修复漏洞。另外,防火墙也相当重要。必须定期对开放端口和程序进行排查。
病毒急救站
病毒名称:图片杀手
病毒类型:数据破坏类病毒
病毒目的:破坏系统设置,感染程序图片
病人:弹出色情王爷信息
今天帮助一个朋友检测系统,发现当连接到互联网以后,浏览器会自动打开大量的色情网页。除此之外我还发现,系统中所有的图片都被病毒破坏,而且除C盘之外其他磁盘的程序也被感染。请问这是“磁碟机”病毒重生还是新的病毒啊?
病毒:弹出广告来刷流量
其实我并不喜欢别人叫我“病毒”,因为我的目的是弹广告来刷流量。不过为了更好地“工作”,我还是进行了很多的破坏性操作。比如首先通过检查窗口,如果窗口名称与其列表中的安全软件名称同名,则发送消息来关闭该程序的窗口,这样会令杀毒软件不能正常工作,接着修改注册表中的信息,从而破坏系统的安全模式。
当我加载成功以后会遍历并修改除C盘之外的其他驱动器存在的图片文件。然后我会尝试改写除C盘之外,其他磁盘分区内的所有EXE文件,将文件头部重新写为病毒的数据,这样虽有的可执行文件就被破坏。另,我还会搜索后缀为GHO的文件,如果发现这些文件就将它们删除。这样用户想通过Ghost程序来还愿系统也就不可能了。
当做完上面的这些操作以后,我就会调用系统默认的网页浏览器,自动连接到设置的色情网站。这样随着网站访问量的增加,我的主人的收入也会随之增加。
医生:数据破坏病毒再现
这是一款近来非常少见的数据破坏类病毒,因此大家一定要提高警惕。如果用户不幸中了该病毒,你们下载金山独霸推出的专杀工具,对该病毒进行快速的查杀。如果系统已经感染该病毒,第一次运行专杀工具会有重新启动系统。重新启动以后,专杀工具就会开始查杀。清楚完成以后再利用杀毒软件对整个磁盘进行一次彻底的扫描,最后使用“金山清理专家”来完成注册破坏项的修复。