addres space layout randomization

نوشته شده توسط در فروردین ۲, ۱۳۸۸ در بررسی امنیت ویندوز - ۲ نظر

ما در این پستهایی که سلسله مراتب ارسال میکنیم ابزارهایی مثل parental controls را بررسی میکنیم ولی همین طور که در پست قبلی گفتم اول باید زیر بنا رو بدونید. این مطلب و بسیار روان مینویسم همه متوجه میشند چه خبره.
http://www.microsoft.com/windows/pro…lcontrols.mspx

Control your children's computer use from one screen

return-to-libc یکی از حملات امنیتی است که بر اساس یک موقعیت استاندارد برای آن تابع در حافظه اجرا میکنه . این مهاجمین باید کدی که قراره اجرا بشه را پیدا کنه در حالیکه سایر مهاجرین تلاش میکنند تا shellcode را در یک پشته اجرا نمایند. با اینحال، گروه دوم باید ابتدا پشته مورد نظر را پیدا کنه.
هدف از aslr که اسم کاملشو در عنوان پست نوشتم جابجایی توابع سیستم در قسمتهای مختلف است تا همیشه در یک آدرس ثابت قرار نگرفته و قابل پیش بینی اونوقت دیگه نمیشه. بخاطر همین هکر فقط میتونه مکان اون رو حدس بزنه ۲۵۶ موقعیت احتمالی برای انتخاب وجود داره که شانس مهاجم برای یافتن اون فقط ۱ به ۲۵۶ میشه که این امکان خیلی ضعیفه که بتونه کاری کنه. حالا این خیلی جالب تره که اگر اشتباه کنه موقعیت تابع رو ، نرم افزار کاربردی معمولا بدون اینکه امنیت رو به خطر بندازه از کار میفته اونوقت که کار شدیدا دچار مشکل میشه برای مهاجم یا هکر. من خواهش میکنم یک بار دیگه اینکه با قرمز نوشتم و بخونید هیچ احتیاج به تخصص نیست برای فهمیدنش. من پیش بینی میکنم در ویندوز بعدی مایکروسافت این ۲۵۶ رو به ۱۰۰۰ تبدیل کنه از کجا معلوم نتونه
یکی از آپدیتهای مایکروسافت که مال security هست که کدش رو یادم نیست ساختمان این ۲۵۶ درگاه رو تغییر میده پس بخاطر همین حتما ویستا را همیشه آپدیت کنید.
حالا فرض کنید که از این درگاه گذر میشه اینجا رو خوب گوش کنید فرض میگیریم از این درگاه میتونن گذر کنند مثل rootkit ها که چند سالی معروف کردن خودشونو، اونوقت چی میشه ، بطور پنهانی خودشو با امتیاز کامل اجرا میکنه و از طریق درگاه های محافظت نشده با یک سیستم میزبان خارجی ارتباط برقرار میکنه (یکی از کارهای فایروال اینه که جلوی این اتصال رو بگیره ما بدون اینکه فایروال بتونه ادامه میدیم) rootkit برای اینکه بتونه درست کار کنه باید خودشو رو حافظه ثبت کنه با aslr هیچ شیوه ای برای این وجود نداره تا بتونه محل خود را ثبت کنه آنهم بخاطر جدول رجیسترها. rootkit نمیتونه بدون ثبت شدن در این فهرست خودشو در حافظه جا بده بخاطر همین اگر نتونه ثبت بشه نمیتونه پنهان بشه . همین باعث میشه که برنامه های امنیتی شما میتونه اونو پیدا کنه مثل آنتی ویروسها، internet security ها.
aslr یک ابزار پشت صحنه ای هست اما واقعا قابل تحسینه.

مطالب مرتبط:

  • Parental Control نمیگذارد فرزندان ببینند!
    بحث parental control را قبلا در دو مطلب ارائه دادم (1 و 2)که هم خودش را توضیح دادم هم در ویندوز ویستا نوشتم که چطور ازش استفاده کنید. در این مطلب نیز این قضیه را در ویندوز 7 مینویسم و سعی میکنم از دو ...
  • چرا امنیت 64 بیت بیشتر است؟
    این سوال بالا را خیلیها از من میپرسند از بس متفرقه جواب دادم گفتم بذار بطور خلاصه چند خطی توضیح بدم بلکه راضی بشید. ولی قبلش اینکه بعضی از کاربران از اینکه مایکروسافت دانلود ویندوز 7 را تحریم کرده نار...
  • تنظیمات اخطار برای کنترل والدین ویستا
    این مطلب را ادامه مطلب قبلی مینویسم. برای درک این مطلب حتما باید اون مطلب قبلی را بخوانید. بطور پیش فرض ، هنگام پیکربندی کنترل والدین بطور هفتگی به شما یادآور میشه که گزارشهای فعالیت را بخوانید و ک...
  • کنترل والدین در ویندوز ویستا
    در این پست بحث تازه ای را شروع میکنم که اگر برای شما مفید هست و بحث خوبی هست میشه براش یک موضوع در وبلاگ باز کرد و مطالب مشابه را در این زمینه جمع آوری کرد. قبل از اینکه این مطلب را بنویسم موضوع آنرا ...

در مورد نویسنده

Microsoft Certified System Engineer, Microsoft Certified IT Professional, Cisco Certified Network Associate, Certified Wireless Network Administrator

۲ نظر در "addres space layout randomization"

  1. Abolfazl بهمن ۱۳, ۱۳۸۸ در ۸:۰۱ ب.ظ · پاسخ دادن

    جالب بود ، مخصوصا اونجاش که درباره Rootkit ها بود ، پس باید منتظر امنیت بیشتری از مایکروسافت باشیم

    مرورگر این کاربر Unknown Unknown سیستم عامل این کاربر Unknown Unknown

بازتاب‌های مربوط به این پست

  1. چرا امنیت 64 بیت بیشتر است؟ | ویندوز من

یک نظر بدید