浏览器与安全检测三两事v02安赛-林榆坚.pptVIP

LOGO 浏览器与安全检测的三两事 安赛（ AISec ） Linx 关于我 ? 前百度网络安全研发工程师 ? 目前为安赛科技技术总监 ? 专注 Web 安全、恶意代码分析、大规模网站安全性监控 等领域 。 目录 1. 为什么去研究浏览器 2.0DAY/ 崩溃日志和小工具 3.web2.0 爬虫 目录 1. 为什么研究浏览器 2. 0DAY/ 崩溃日志和小工具 3.web2.0 爬虫 为什么研究浏览器 ? 源自于挂马检测 开源： Webkit(chrome) gectko （ firefox ） ? 封闭： IE? ? IE 的优势 ? 最接近被挂马的环境 ? IE 的难度 * 要通过逆向去分析浏览器引擎 * 通过 hook 的方式获得浏览器控制权 为什么研究浏览器 ? 一个艰难的决定： 程序员 or 黑客？ ? 实现并不难： 挂马流程： (1) 生成 shellcode-(2) 触发堆喷射，触发漏 洞（异常） -(3) 执行命令获得系统控制权限 防御 / 检测方式： (1) Hook jscript.dll!ScrUnescape/COleScript::Compile 检测 shellcode (2) Hook jscript.dll!allocate/ConcatStrs 检测堆喷射 (3) R3 和 R0 的沙箱 检测未知攻击 （非 heapspray ） 为什么研究浏览器 ? 更多的收获： ? 有意思的崩溃日志 - 0day ? 提高了 crack 的能力 目录 1. 为什么和浏览器接触 2. 0DAY/ 崩溃日志和小工具 3.web2.0 爬虫 崩溃日志 ? 2013Pwnium 黑客大赛 ，求 Chome OS 崩溃 ? 而 IE 的崩溃很常见 崩溃日志 ? 几十个 Crash 后自动生成的调试文件 ? 看过一部分 ? 有 2 个证实是 0day ： - 起因 1 ：一个 crash 文件 (CVE-2010-3971) - 起因 2 ：诡异的线程问题 (CVE-2012-0168) ? Crash demo 崩溃日志 ? 几十个 Crash 后自动生成的调试文件 ? 看过一部分 ? 有 2 个证实是 0day ： - 起因 1 ：一个 crash 文件 (CVE-2010-3971) - 起因 2 ：诡异的线程问题 (CVE-2012-0168) ? Crash demo 崩溃日志 ? 几十个 Crash 后自动生成的调试文件 ? 有 2 个证实是 0day ： - 起因 1 ： crash 文件 - 起因 2 ：诡异的线程 + 出错问题 某个网站调用了： script Window.print() 带来的模态对话框和新线程 这个线程是 admin/ 本地权限 收获 -oday ？ ? 几十个 Crash 后自动生成的调试文件 ? 有 2 个证实是 0day ： - 起因 1 ： crash 文件 - 起因 2 ：诡异的线程问题 ? IE8 Crash 中的一个 ( 至今未修复 ) ? 检测 /go.html 的时候被 发现 收获 -oday ？ ? 几十个 Crash 后自动生成的调试文件 ? 有 2 个证实是 0day ： - 起因 1 ：一个 crash 文件 (CVE-2010-3971) - 起因 2 ：诡异的线程问题 (CVE-2012-0168) ? 一个 IE8 的 crash demo ? 还有很多没去查看 ? 不是我们关注的内容 ? 可能是个 0day 金库 ? 您也可以写个 IE 爬虫试试 目录 1. 为什么和浏览器接触 2. 0DAY/ 崩溃日志 和小工具 3.web2.0 爬虫 收获 - 衍生的小工具 ? 衍生出来的小工具 1.colorWindbg ： 给调试工具 windbg 上色 2.TraceAPI ： 分析系统 api 3. 我们的沙箱 /shellcode 分析等 …… 衍生的小工具 - ColorWindbg ? ColorWindbg- 给黑白的 windbg 上色 ? 微软的程序员太没情调了 ? 只用 hook 一下 GDI32.dll 中的 ExtTextOutW() ，在文字输出之前 调用 SetTextColor() 。（对记事本等任何程序都有效） 衍生的工具 - TraceAPI - 可以分析 windows api 的执行流程 - 很容易发现 dll 劫持、 shellexecute 等漏洞 - 分析病毒木马 TraceAPI 原理 ? 功能和 windbg 的“ wt ” (Watch and Trace data) 类似，但效率高一些（不需要 int 3 中断到调试器 / 步进） ? Hook 所有的函数；只改