软件反漏洞挖掘体系介绍.pdf

反漏洞挖掘介绍 演讲人：俞科技 职务：华为网络安全技术专家 日期：2014.9.23 China Internet Security Conference 2014 2014中国互联网安全大会 当前软件攻防对抗手段回顾 • 漏洞利用 vs 反漏洞利用 – 编译器层：GS、Safeseh选项 – 操作系统层：ASLR – 处理器层：DEP • 逆向工程 vs 反逆向工程 – 反调试/反虚拟机 – 花指令 – 垃圾指令 – 指令虚拟化 – 加壳 – 代码抽取执行 – … • 调试vs 反调试vs 反反调试 – IsDebuggerPresent – Heap flag – CheckRemoteDebuggerPresent （ ProcessDebugPort） – NtSetInformationThread （ ThreadHideFromDebugger ） – Trap Flag – 程序执行时间 – 父进程检查 – …… • 后门隐藏vs 后门检测 – 应用层 • 感染程序 • 注册表自启动项 • Dll劫持/注入 – 服务 • 新建服务 • 替换/劫持原服务 – 内核rootkit – Bootkit • MBR • NTLDR – Chipkit • 外挂vs 反外挂 – 防代码注入 – 内核级反调试 – 防止程序多开 – 关键代码保护 – … 没有“漏洞挖掘vs 反漏洞挖掘” • 目前编译器/操作系统的重点放在了防止漏 洞利用 • 反逆向工程可以阻止漏洞分析，但不能完 全阻止漏洞挖掘 • SDL过程的目标是减少软件漏洞 反漏洞挖掘 • 反漏洞挖掘是在分析漏洞挖掘者（hacker ）的能力与漏洞挖掘方法的基础上，采取 的反制措施 软件攻击者的技能 cracker 外挂 PE结构 逆向工程 代码还原 脱壳 调试/反调试 编程 ASM 破解 网络架构 加解密 创新性 漏洞模式 Shellcode 脚本语言 社会工程 漏洞挖掘/利用 威胁分析 入侵渗透