軟件剖析：代碼攻防之道

第1章  軟件—— 問題的根源 1
1.1  軟件簡史 1
1.1.1  軟件和信息戰(zhàn) 4
1.1.2  數字諜報手段 4
1.2  不良軟件很普遍 7
1.2.1  NASA(美國國家航空和宇宙航行局)的火星登陸器 7
1.2.2  丹佛機場行李管理系統(tǒng) 7
1.2.3  魚鷹MV-22 8
1.2.4  美國軍事系統(tǒng)自傷 8
1.2.5  Microsoft和“愛”bug 9
1.3  問題三組合 10
1.3.1  復雜性 10
1.3.2  代碼行數越多，bug就越多 11
1.3.3  可擴展性 12
1.3.4  連通性 15
1.3.5  結論 16
1.4  軟件的未來 16
1.4.1  短期未來：2003－2004 16
1.4.2  中期未來：2005－2007 18
1.4.3  長期未來：2008－2010 20
1.4.4  十條思路 21
1.5  什么是軟件安全 21
1.6  小結 22
第2章  攻擊模式 24
2.1  分類 24
2.1.1  bug 25
2.1.2  缺陷 25
2.1.3  脆弱點 25
2.1.4  設計中的脆弱點 26
2.2  開放系統(tǒng) 27
2.2.1  風險 29
2.2.2  潛在損失 29
2.2.3  暴露度與力度 30
2.2.4  實際風險 30
2.3  一次攻擊歷程 31
2.3.1  攻擊者的觀點 31
2.3.2  為什么不能信任用戶 32
2.3.3  “開鎖” 32
2.3.4  一個簡單的示例 34
2.4  攻擊模式：災難性的藍圖 36
2.4.1  破解、攻擊和攻擊者 36
2.4.2  攻擊模式 36
2.4.3  代碼注入 37
2.4.4  活動區(qū) 37
2.4.5  輸出事件 37
2.4.6  反饋事件 37
2.5  攻擊示例：對Microsoft C++編譯器的攻擊 37
2.5.1  攻擊的技術細節(jié) 39
2.5.2  對Microsoft棧保護的概述 39
2.5.3  繞過Microsoft的安全特性 40
2.5.4  解決方案 42
2.5.5  攻擊回顧 42
2.6  應用攻擊模式 43
2.6.1  網絡掃描 43
2.6.2  操作系統(tǒng)辨識 43
2.6.3  端口掃描 44
2.6.4  路徑追蹤和區(qū)文件傳輸 44
2.6.5  目標組件 44
2.6.6  選擇攻擊模式 45
2.6.7  環(huán)境缺陷的影響 45
2.6.8  間接使用攻擊 45
2.6.9  種植后門 45
2.7  攻擊模式工具箱 46
2.8  小結 46
第3章  逆向工程和程序理解 47
3.1  進入邏輯的“房屋” 47
3.1.1  逆向工程 48
3.1.2  為什么需要逆向工程 50
3.2  逆向工程是非法的嗎 50
3.3  逆向工程的概念及其使用的工具 51
3.3.1  調試程序 52
3.3.2  缺陷注入工具 52
3.3.3  反匯編工具 52
3.3.4  反編譯器 52
3.4  逆向工程的方法 53
3.4.1  白箱分析 53
3.4.2  黑箱分析 53
3.4.3  灰箱分析 54
3.4.4  使用灰箱技術在Microsoft的SQL Server 7中尋找脆弱點 55
3.5  逆向方法 56
3.5.1  輸入追蹤 56
3.5.2  軟件版本的差異 57
3.5.3  代碼覆蓋 58
3.5.4  內核訪問 59
3.5.5  共享緩沖區(qū)中的數據泄漏 59
3.5.6  對訪問請求的審計 60
3.5.7  使用自己的API資源 60
3.6  編寫IDA插件 61
3.7  對軟件進行反編譯和反匯編 73
3.8  實練反編譯：逆向helpctr.exe 74
3.8.1  bug報告 75
3.8.2  調試記錄 75
3.9  自動、成批地審計脆弱點 78
3.10  編寫屬于自己的破解工具 87
3.10.1  x86工具 87
3.10.2  基本的x86調試程序 88
3.10.3  斷點 89
3.10.4  存儲器的讀寫 92
3.10.5  調試多線程程序 93
3.10.6  枚舉線程或進程 95
3.10.7  單步執(zhí)行 96
3.10.8  修補 97
3.10.9  故障注入 97
3.10.10  進程快照 98
3.10.11  反匯編機器代碼 102
3.11  編寫基本的代碼覆蓋工具 104
3.12  小結 109
第4章  攻擊服務器軟件 110
4.1  可信任輸入問題 111
4.2  權限提升問題 112
4.2.1  進程權限之間的信任 112
4.2.2  如果不以管理員的身份運行，一切就會崩潰 113
4.2.3  從不被信任的資源中讀取數據的進程權限提升 113
4.2.4  使用提升權限的進程 114
4.3  尋找注入點 114
4.4  輸入路徑的追蹤 116
4.4.1  使用基于Solaris SPARC二進制的GDB和IDA-Pro 116
4.4.2  設置斷點和表達式 116
4.4.3  利用IDA映射運行時存儲器地址 117
4.4.4  將GDB附加到一個正在運行的進程 117
4.4.5  基于Solaris使用Truss以模擬目標軟件 118
4.5  通過配置破解受信任的軟件 120
4.5.1  審計直接可執(zhí)行文件 121
4.5.2  了解當前工作目錄 121
4.5.3  如果Web服務器不執(zhí)行cgi程序該怎么辦 121
4.5.4  什么是不可執(zhí)行的文件 122
4.5.5  策略的使用 123
4.6  特殊的技術和對服務器軟件的攻擊 123
4.6.1  技術：注入命令解釋程序 124
4.6.2  技術：管道、端口和權限 134
4.6.3  技術：攻擊文件系統(tǒng) 136
4.6.4  技術：操作環(huán)境變量 140
4.6.5  技術：利用無關變量 140
4.6.6  技術：利用不良會話認證 142
4.6.7  技術：蠻力會話ID 143
4.6.8  技術：驗證的多重路徑 147
4.6.9  技術：不能檢驗錯誤代碼 147
4.7  小結 147
第5章  攻擊客戶端軟件 148
5.1  作為攻擊目標的客戶端程序 148
5.1.1  服務器控制客戶端 149
5.1.2  軟件蜜罐 149
5.2  混合信號 150
5.2.1  古老(但卻相關)的歷史 150
5.2.2  基本的混合數據使用 152
5.2.3  針對打印機的有趣的混合信號 153
5.2.4  Linux中的混合終端字符注入 153
5.2.5  反射問題 155
5.3  跨站點腳本 155
5.4  客戶端腳本和惡意代碼 160
5.4.1  檢查較脆弱的本地調用 160
5.4.2    Web瀏覽器和ActiveX 166
5.4.3  E-mail注入 167
5.5  基于內容的攻擊 170
5.6  逆向攻擊：利用客戶端緩沖區(qū)溢出 170
5.7  小結 171
第6章  構造惡意輸入 172
6.1  防御者的困惑 173
6.1.1  過濾器 174
6.1.2  通信系統(tǒng) 174
6.2  入侵檢測 175
6.2.1  基于簽名和基于異常的IDS 175
6.2.2  疲于應付的IDS 176
6.2.3  在IDS上交替編碼的效應 176
6.3  分割分析 178
6.3.1  Windows的APISPY 178
6.3.2  紅點 179
6.4  追蹤代碼 179
6.4.1  從脆弱區(qū)回溯 180
6.4.2  死端和逃避 181
6.4.3  運行時追蹤 181
6.4.4  速度中斷 183
6.4.5  追蹤緩沖區(qū) 184
6.4.6  跳步 185
6.4.7  內存頁斷點 185
6.4.8  boron標記符 185
6.5  反向分析程序代碼 186
6.5.1  字符轉換 186
6.5.2  字節(jié)操作 187
6.5.3  指針操作 187
6.5.4  空終止符 188
6.6  示例：通過“正門”逆向I-Planet Server 6.0 189
6.7  錯誤的分類 193
6.8  產生“等效”請求 193
6.8.1  映射API層 194
6.8.2  虛字符 195
6.8.3  等效元字符 196
6.8.4  轉義元字符 197
6.8.5  字符轉換 198
6.8.6  組合攻擊 200
6.9  檢測中毒 201
6.10  小結 202
第7章  緩沖區(qū)溢出 203
7.1  緩沖區(qū)溢出 203
7.1.1  棧的摧毀(為了有趣和有益) 204
7.1.2  遭到破壞的狀態(tài) 204
7.2  病毒注入：再次利用輸入 205
7.2.1  病毒注入的結束和攻擊代碼的開始 206
7.2.2  在目標中選擇合適的代碼地址 206
7.2.3  高地址區(qū)和低地址區(qū) 207
7.2.4  big endian和little endian表示方式 208
7.2.5  使用寄存器 208
7.2.6  使用內存中現有的代碼或是數據塊 209
7.3  緩沖區(qū)溢出與嵌入式系統(tǒng) 210
7.4  數據庫緩沖區(qū)溢出 211
7.4.1  存儲過程 212
7.4.2  命令行應用程序 212
7.4.3  數據庫的客戶端程序 212
7.5  緩沖區(qū)溢出和Java 212
7.5.1  同時使用Java和C/C++ 213
7.5.2  存儲過程和動態(tài)鏈接庫 214
7.6  基于內容的緩沖區(qū)溢出 214
7.7  緩沖區(qū)溢出的截獲審計和過濾器 216
7.8  環(huán)境變量引起的溢出 217
7.9  多重操作問題 218
7.10  發(fā)現潛在的緩沖區(qū)溢出 218
7.10.1  異常處理掩蓋錯誤 218
7.10.2  使用反匯編 219
7.11  棧溢出 219
7.11.1  固定大小的緩沖區(qū) 220
7.11.2  不能自動添加空字符作為結束的函數 221
7.11.3  off-by-one空字符結束的函數 222
7.11.4  改寫異常處理程序結構 225
7.12  內存管理中的計算錯誤 226
7.12.1  負數“等于”很大的正數 226
7.12.2  有符號數和無符號數的不匹配 228
7.12.3  有符號數和內存管理 231
7.13  格式化字符串的脆弱點 233
7.13.1  從內存中的任何一個地方輸出數據 235
7.13.2  在代碼中檢測問題 238
7.14  堆溢出 239
7.15  緩沖區(qū)溢出和C++ 242
7.16  攻擊代碼 243
7.16.1  定向 244
7.16.2  攻擊代碼的大小 245
7.16.3  使用硬編碼的函數調用 245
7.16.4  使用動態(tài)指令跳轉表 245
7.16.5  定位數據段 247
7.16.6  異或(XOR)保護 247
7.16.7  校驗和與散列加載 247
7.17  基于RISC體系結構的攻擊代碼 248
7.17.1  分支延遲或者延遲槽 248
7.17.2  基于MIPS的攻擊代碼結構 249
7.17.3  MIPS指令 249
7.17.4  定向 249
7.17.5  在MIPS操作碼中避免空字節(jié) 250
7.17.6  MIPS中的系統(tǒng)調用 251
7.17.7  SPARC 攻擊代碼結構 251
7.17.8  SPARC 寄存器窗口 251
7.17.9  SPARC上的棧調用 252
7.17.10  嵌套在SPARC中的函數調用 254
7.17.11  PA-RISC攻擊代碼的結構 254
7.17.12  PA-RISC上的棧調用 256
7.17.13  在HPUX PA-RISC上的棧溢出 258
7.17.14  PA-RISC的內部空間分支 258
7.17.15  內部空間跳躍 259
7.17.16  定向 260
7.17.17  HPUX的自解密攻擊代碼 261
7.17.18  AIX/PowerPC的攻擊代碼結構 263
7.17.19  定位 263
7.17.20  給PowerPC命令解釋程序代碼披上盔甲 264
7.17.21  刪除空字符 265
7.18  多平臺的攻擊代碼 265
7.19  保護函數的Prolog－Epilog代碼 267
7.19.1  擊潰棧保護 267
7.19.2  擊潰非可執(zhí)行棧 269
7.20  小結 271
第8章  rootkit 272
8.1  破壞性的程序 272
8.1.1  什么是rootkit 272
8.1.2  什么是內核rootkit 273
8.1.3  內核rootkit及其受信任的計算基礎 273
8.2  簡單的Windows XP內核rootkit 273
8.2.1  編寫rootkit 273
8.2.2  checked 編譯環(huán)境 273
8.2.3  rootkit中的文件 274
8.2.4  建立環(huán)境 274
8.2.5  內核驅動程序 274
8.2.6  驅動程序的基本結構 274
8.2.7  使用驅動程序 275
8.2.8  允許卸載驅動程序 276
8.2.9  注冊驅動程序 278
8.2.10  使用SystemLoadAndCallImage 280
8.3  鉤子調用 282
8.3.1  隱藏進程 283
8.3.2  系統(tǒng)調用的鉤子 283
8.3.3  基本鉤子調用的結構 283
8.3.4  刪除進程記錄 284
8.3.5  另一種進程注入的方法 287
8.4  特洛伊可執(zhí)行程序的重定向 287
8.4.1  重定向和Tripwire問題 287
8.4.2  重定向驅動程序 288
8.5  隱藏文件和目錄 292
8.6  修補二進制代碼 294
8.6.1  窺探補丁 295
8.6.2  修補NT內核以刪除所有的安全保護 296
8.7  硬件病毒 306
8.7.1  讀寫硬件存儲空間 307
8.7.2  示例：讀/寫鍵盤硬件 308
8.7.3  允許從EEPROM讀或寫 313
8.7.4  CIH 313
8.7.5  EEPROM和定時 316
8.7.6  以太網的EEPROM 316
8.7.7  串行EEPROM和并行EEPROM 319
8.7.8  燒毀硬件 319
8.7.9  制造商 319
8.7.10  通過通用閃存接口檢測芯片 320
8.7.11  示例：檢測Flash RAM 芯片 320
8.7.12  利用ID模式或JEDEC ID檢測芯片 321
8.8  低級磁盤訪問 322
8.8.1  讀或寫主引導記錄 323
8.8.2  感染CD-ROM 323
8.9  給驅動程序添加網絡支持 323
8.9.1  使用NDIS庫 323
8.9.2  使接口處于混雜模式 325
8.9.3  尋找正確的網卡 326
8.9.4  為了安全而使用boron標記 331
8.9.5  添加交互式命令解釋程序 331
8.10  中斷 331
8.10.1  Intel的中斷請求(IRQ)結構 331
8.10.2  鉤住中斷描述符表(IDT) 332
8.10.3  神秘的程序中斷控制器(PIC) 333
8.11  擊鍵記錄 334
8.11.1  Linux下的擊鍵記錄 334
8.11.2  Windows NT/2000/XP下的擊鍵記錄 335
8.11.3  鍵盤控制器芯片 335
8.12  高級rootkit專題 335
8.12.1  使用rootkit作為調試器 336
8.12.2  禁用Windows系統(tǒng)的文件保護功能 336
8.12.3  直接寫物理存儲器 336
8.12.4  內核緩沖區(qū)溢出 336
8.12.5  感染內核鏡像 336
8.12.6  改變程序執(zhí)行方向 336
8.12.7  檢測rootkit 337
8.13  小結 337
附錄A  攻擊模式 338