IT学习网 - 爱学习 - 最具影响力综合资讯网站 -- 中国IT界的领航者!
热门关键字:      88888  as  xxx
站外
广告
站外
广告

网络安全之深入挖掘EMET

发布时间:2016-10-21 05:45文章来源:互联网文章作者: 佚名点击次数:
上周,我们决定对微软提供的EMET库进行一次深入探究。这个库的创建目的是为了在无法源码编译的应用程序时,对应用程序引入几个安全功能。 它还添加了一个额外层来保护应用程序免受过滤库调用的典型利用技术,阻止使用危险函数/组件以及增加了一些利用缓解技

上周,我们决定对微软提供的EMET库进行一次深入探究。这个库的创建目的是为了在无法源码编译的应用程序时,对应用程序引入几个安全功能。

它还添加了一个额外层来保护应用程序免受过滤库调用的典型利用技术,阻止使用危险函数/组件以及增加了一些利用缓解技术。

考虑到已经有很多研究者也在研究EMET,我们目前只是打算理清楚它的结构和各组件之间的交互方式。本篇文章将分享我们的一些研究发现。

大体框架

在安装了EMET5.51 (SHA1 (EMET Setup.msi) = 98f0cb46df42bdd5ff8b92f87cad728e9373fe97)之后,我们看到了以下的新文件:

· 程序文件

· EMET5.5

· 部署

· 分组政策文件

· EMET.adml

· EMET.admx

· 保护配置文件

· CertTrust.xml

· Popular Software.xml

· Recommended Software.xml

· DevExpress.BonusSkins.v15.1.dll

· DevExpress.Data.v15.1.dll

· DevExpress.Images.v15.1.dll

· DevExpress.Utils.v15.1.dll

· DevExpress.XtraBars.v15.1.dll

· DevExpress.XtraEditors.v15.1.dll

· DevExpress.XtraLayout.v15.1.dll

· DevExpress.XtraTreeList.v15.1.dll

· EMET_Agent.exe

· EMET_CE.dll

· EMET_Conf.exe

· EMET.dll

· EMET_GUI.exe

· EMET_Service.exe

· EMET_Service.exe.config

· EMET_User’sGuideLink.txt

· EULA.rtf

· HelperLib.DLL

· Microsoft.GroupPolicy.Management.dll

· MitigationInterface.DLL

· PKIPinningSubsystem.DLL

· Privacy Statement.rtf

· ReportingSubsystem.DLL

· SdbHelper.dll

· TelemetrySubsystem.DLL

· TrayIconSubsystem.DLL

· windows

· AppPatch

· EMET.dll

· 定制

· {f8c4cc07-6dc4-418f-b72b-304fcdb64052}.sdb

得到这样一份安装文件清单之后,你会面临以下几个选项:

1.解压缩安装程序包

2.猜测安装目录

3.使用镜像工具

每一个选项都各有优缺点,第一个选项会呈现安装程序内的所有文件,即使是不会安装的文件也会呈现,但动态生成的文件可能不会出现。第二个选项或许是最简单的一个,但也是最容易犯错的一个,因为你永远都不会知道不同的文件是否存储在不同的地方。

第三个选项可以概括出文件系统两种状态之间生成的所有文件内容,这个是最准确的一个选择,但同时也会产生最多的数据。

我们决定采取第三个选择,这样可以不错过任何文件,我们使用“InstallWatch Pro”作为截屏工具,然后将镜像到的内容分类获得所有的创建/更改/删除文件和注册表项。

最相关的文件位于C:\Program Files\EMET 5.5 and C:\Windows\AppPatch文件夹。第一个主要是存储于EMET进行交互的应用程序,第二个包含了实际的EMET库(在一个64位系统中也有一个EMET64.dll 文件)。操作系统使用此文件夹来存储所谓的SHIM库。应用程序加载器会将这种库注入在应用程序和操作系统API之间。将导入表的条目设置为填充程序库而不是操作系统提供的库。因为这样的过程是在应用程序加载的过程中迅速完成的,所以这种SHIM库可以在应用程序启用过程中获得大多数函数调用。因此,SHIM库通常充当代理或筛选器,它们对于应用程序和操作系统来说是完全透明的。这些组件可以看做是直接交互。
网络安全之深入挖掘EMET
本文由 IT学习网 整理,转载请注明“转自IT学习网”,并附上链接。
原文链接:http://www.ourlove520.com/Article/diannao/wangluo/519304.html

标签分类:

上一篇:上一篇:从一字节溢出到任意代码执行-Linux下堆漏洞利用
下一篇: 下一篇:手把手教你如何从内存中提取出LastPass的用户凭证
无觅关联推荐,快速提升流量