April 2008 - Posts
瑞星Rising误杀Explorer.exe的声明: http://www.rising.com.cn/special/special_news080429.htm " 4月28日下午5点,瑞星杀毒软件升级到20.42.01版本后,部分Windows XP用户出现无法进入桌面、任务栏的【开始】菜单按钮消失等现象。经查明,该现象是由于瑞星杀毒软件将某些版本的explorer.exe文件(版本为6.00.2900.3156 xpsp_sp2_gdr.070613_1234)误判为病毒trojan.dl.win32.mnless.zib并处理所导致。"
Read More...
“你这文采,还有Blog啊?” “……好歹给个机会嘛……” “打开这么慢,有病毒吧……这颜色还是绿的,装嫩” “……没有,这只是Summer模板……” “你看你这篇blog的口气, 写通讯稿 呢?知道怎么写Blog吗?懂吗?” “…… 刚开始 , 没经验 ……” “这文笔!这文笔…… 情商的确是出名的低 啊!看的人都没兴致,难怪 没人回复 ” “……有啊,3篇……别看了,我自己回复的,更新一下内容……人家都忙……” “你怎么每篇都有图片?连环画吗?” “……其实不是……我喜欢连环画……” “还放照片啊?你还说自己烦自恋的人……这张脸部光线太亮,又装嫩!为什么?!”
Read More...
看到有新闻猜测,最近的一次 大规模Injection(nihaorr1.com) 事件,可能是利用了 Security Advisory 951306 提到的提权缺陷(正在验证中)进行的攻击,这里非官方的小澄清一下,目前我得到的此次攻击事件证据中,没有看到利用951306的攻击行为,并且证据表明此次攻击是 上一次大范围Injection(fu*kjp.js) 事件的延续。 正如我 之前blog 提到的,利用未经安全开发、网络化却缺乏安全更新策略的第三方软件中存在的缺陷,和传统的XSS/SQL Injection(及其衍生技术)相结合的攻击在未来两年里将成为影响Windows用户最大的威胁因素。这几次的大范围攻击,也许只是序幕
Read More...
Debug某一未知PoC时,相信很多人都会被可能的crash反复折腾,往往只能凭经验在live或对dump debugging时下breakpoint不断尝试,一旦出错,只能重头来过,debugger一般没有提供对trace/dump进行step back的code回溯功能。这里给希望写Code replay plugin for debugger trace的朋友提供一篇以前的MS公开文档(涉及的只是内部系列工具之一,并不在MCPP范围内),希望能有所帮助,包括如何在做到trace到需要的信息(保证code回溯信息可查)的同时,又不至于严重影响系统性能,并且trace数据不会过大
Read More...
Microsoft Security Intelligence Report第四部分 提供下载(简体中文) 了,不知对大家是否有参考价值。
Read More...
大学里,我的编程起步,差不多是和接触安全同时开始的。于是思考有局限的我,在很长的一段时间里,“优美”一词和我的代码几乎无关,简单、粗暴、自以为是的小技巧,是我代码的全部特征——不知优化,不懂用户体验,不在乎软件工程规范,更不关心最终目标是否有积极意义,从未意识到应从优秀程序员那里学习经验。当几年后我修复好旧硬盘,再次看到那时的代码时,我仿佛看到的是一堆PoC的简陋组合:每个片段代码仅以出奇制胜、自我成就感为唯一目标。 单就技术思维本身而言,安全人员在逻辑、推理、统筹、数理甚至单一技术点的深度和延展度方面并不比其他领域的研究人员更加高明,但狭义上的安全实质上是与人对抗,这更易让初涉其中的人产生狂热和成就感,以及对其他研究人员包括普通程序员的居高临下的俯视感,这种天生而来的特点难以避免地让我们有时看到安全行业比其他行业更为明显的浮躁(或许只是因为身在其中感觉更加明显),一个典型特征便是偶尔可见的“莫名其妙的个性张扬或内敛”。
Read More...
Carnegie Mellon University的学生发表了一篇论文《 Automatic Patch-Based Exploit Generation is Possible: Techniques and Implications》。如此全民皆兵的大形势下,要快速对付0day,软件厂商是不是得研究另一种技术了:Automatic PoC-Based Patch Generation?:) BTW:文中用到了eEye的Bindiff做辅助分析,第二作者是个华裔MM(也是第一作者的Advisor)
Read More...
下午在小区门口的磁悬浮展览厅里给小孩儿买了几个不错的玩具,很适合寓教于乐,激发小孩儿对物理的兴趣,包括惯性定律、能量守恒定律、地球引力、磁悬浮原理、陀螺轴性原理、重力、力的平衡、空气阻力、涡流与摩擦力都会有初步感性的认知。 Video中第二个小玩具对小孩儿动手能力要求比较高,反复调高加重很多次才成功 荷兰的Crealev公司发明的 悬浮技术 ,可以让任何材料甚至飞机悬浮在空中
Read More...
做IE研究的人多,有个朋友问起如何关闭打开本地包含Script或ActiveX的网页时IE的提示栏,以减少每次调试时都需要手工点击一次的麻烦。方法很简单,“Internet选项”->“高级”->“安全"->“允许活动内容在我的计算机上的文件中运行”,IE6SP2和IE7设置一样。 这个安全选项对于上图中的”高仿真IE信息栏”是没用的 :) 题外话,也是刚刚别人问的关于 Microsoft Works 中0day 漏洞的问题 :你可能从没装过Works,但某些OEM版本(或者XX花园版本等)的XP中可能预装了Works,请关注MS
Read More...
不得不承认,刚刚经历的骗术很低级,但我的反应更加愚蠢,此时想来,简直匪夷所思。 四小时前我走出苏州火车站。由于的士很少,排队等待的士的队伍前进的很缓慢。即使如此也很少有人理会身边不断拉客的黑车车主,由于我对目的地不熟悉,too naive地理了黑车车主。还好,价钱还算公道,相比排队,应该可以节省半个多小时的等待。从上车到一路上走都没什么问题,车上的气氛很和谐,可能随便的几句话让司机sniff到了我对此地并不熟悉并且他的智商和功力比我高了那么一点点。于是下车的时候,司机毫无挑战地spoof了我: “刚才和你说的多少钱?”
Read More...
听到报警器发出一声长嘀,我乖乖地走向那个十公分高的圆台,站了上去,很自觉地抬起双臂做欲飞翔的什么人状,等待着左前方穿着制服正和人说话的女孩儿的扫描。一秒钟后女孩儿手持着设备回头看到我,皱起了眉头: “完了!” “嗯!?……”,我一时没反应过来。 “完了呀!走啊?!” 我不敢再做懵然无知状,赶快下了圆台拿了外套往前走,突然发现前面的一个人穿着和我几乎一模一样的衬衫和裤子——这个身高发型和我差不多的兄弟刚刚在我前面过了这个女孩儿的安检……
Read More...
无需在推荐前面加强烈二字了,这是成熟的对外版本。推荐希望在Vista和Server 2008下开发安全的软件的开发人员或者对微软SDL(Security Development Lifecycle, 安全开发生命周期)感兴趣的朋友下载阅读: Microsoft SDL V3.2
Read More...
Ban可以翻译为“禁用”, Banned API 指的是在微软内部SDL中,对开发人员在编写新的或审核旧的C/C++代码时提出的要求:禁用危险的API,使用新的Safe APIs。由于Vista是第一个自始至终在SDL框架下开发的OS,我听到过两种关于Vista和Banned API的小误解: “Vista禁用了strcpy()等” 这种说法事实上是将原本指的SDL中对开发人员的约束,理解成了产品中对用户的约束,所以此说法导致不少人误会Vista下不可调用strcpy()。 “Vista的代码中已经没有了这些危险的API”
Read More...
关于微软学习消化吸收来的 ASLR ,我被问到最多的问题是在Vista下为什么随机化的地址只有256?为什么不像引入了ASLR的多数*NIX那样更加随机化? 这是不是应了不少人说的“MS一贯抄也抄不好”呢?:),其实何止随机数量少,如果和其他OS相比,Vista下的ASLR优势真的不多,比如很多人发现Vista不像某些OS那样重启一次进程,进程和动态库的基地址便被重新随机设置。不过今天我不是在这里说Vista的不是,只是想说一下微软在设计Vista下ASLR时考虑的一些因素。
Read More...
