日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

由于內(nèi)部代碼中存在一個(gè)Bug，使其可以感染古老的Windows系統(tǒng)。超級蠕蟲病毒震網(wǎng)(Stuxnet)差一點(diǎn)暴露，從而無法完成破壞。

目前創(chuàng)新互聯(lián)已為成百上千家的企業(yè)提供了網(wǎng)站建設(shè)、域名、網(wǎng)絡(luò)空間、成都網(wǎng)站托管、企業(yè)網(wǎng)站設(shè)計(jì)、滿洲網(wǎng)站維護(hù)等服務(wù)，公司將堅(jiān)持客戶導(dǎo)向、應(yīng)用為本的策略，正道將秉承"和諧、參與、激情"的文化，與客戶和合作伙伴齊心協(xié)力一起成長，共同發(fā)展。

業(yè)內(nèi)眾所周知，該病毒可以隱秘地破壞控制離心機(jī)的計(jì)算機(jī)系統(tǒng)。它由美國和以色列的神秘黑客所設(shè)計(jì)，被用于破壞位于伊朗那達(dá)茲郡的鈾濃縮設(shè)施。該病毒導(dǎo)致伊朗的濃縮鈾項(xiàng)目推遲了兩年之久，但由于其自身的代碼缺陷，震網(wǎng)差點(diǎn)未能發(fā)揮作用。

為了完成行動目標(biāo)，Stuxnet必須保證自己無法被伊朗人檢測到。不幸的是，一個(gè)編程錯(cuò)誤可能會讓它傳播到較老版本的Windows上。由于病毒并不支持老版本的Windows，這可能會引發(fā)系統(tǒng)崩潰，大量的出現(xiàn)的系統(tǒng)藍(lán)屏可能會引起那達(dá)茲核試驗(yàn)室工作人員們的注意。

and與or的故事

在上周結(jié)束的RSA安全大會上，BlueCoat的技術(shù)分析人員表示，當(dāng)震網(wǎng)開始引發(fā)Windows 95和Windows 98系統(tǒng)崩潰時(shí)，它的任務(wù)可能還沒開始就即將結(jié)束。

“震網(wǎng)編程團(tuán)隊(duì)里的某個(gè)人可能度過了糟糕的一天，并將代碼中的and錯(cuò)誤地寫成了or。結(jié)果是，震網(wǎng)在執(zhí)行安裝策略時(shí)會進(jìn)行or檢查，這導(dǎo)致它會自動注入所有版本的Windows，甚至是Win 95和Win 98這些它并不支持的操作系統(tǒng)。”

“類似一種在某個(gè)項(xiàng)目上花費(fèi)了很多年時(shí)間，但由于造成了遠(yuǎn)程系統(tǒng)崩潰，突然前功盡棄的意思。”

不過從實(shí)際情況來看，震網(wǎng)還是在2010年被發(fā)現(xiàn)之前成功地干擾了離心機(jī)。這可能是因?yàn)榕銮烧鹁W(wǎng)在那時(shí)沒有碰到任何運(yùn)行老版本W(wǎng)indows的機(jī)器，也有可能是伊朗科學(xué)家對Win 95和Win 98的藍(lán)屏錯(cuò)誤早就習(xí)以為常。

同病相憐的Conficker

安全研究人員還發(fā)現(xiàn)，震網(wǎng)并不是唯一一個(gè)存在Bug的著名惡意軟件。Conficker蠕蟲自身存在的Bug也削弱了其自身的潛在破壞力。

Conficker 蠕蟲攻擊網(wǎng)絡(luò)上的Windows設(shè)備，從理論上講，它幾乎可以感染任何人。但由于負(fù)責(zé)生成隨機(jī)地址的代碼中存在一個(gè)Bug，它只能掃描到IPv4總地址數(shù)量的四分之一：它的隨機(jī)數(shù)生成函數(shù)會產(chǎn)生15位的整數(shù)，從0到0x7fff(0~RAND_MAX)，它調(diào)用這個(gè)函數(shù)兩次，本意是生成一個(gè)32位的 IPv4地址。不過，事實(shí)上它生成的只是30位整數(shù)，比32位的整數(shù)還差了兩位。

“如果你連續(xù)攻擊受害者，會很容易被檢測到，因此黑客在這方面采取了聰明的辦法，每次攻擊一個(gè)隨機(jī)地址?！?/p>

“有趣的事情在于，RAND_MAX變量只有15位，這意味著當(dāng)Conficker通過調(diào)用兩次該函數(shù)來生成IP地址時(shí)，得到的只是一個(gè)30位隨機(jī)數(shù)，這導(dǎo)致病毒并沒有掃描整個(gè)地址空間，而只是掃描了其中的四分之一?！?/p>

如果企業(yè)的客戶由于這個(gè)原因并沒有感染該蠕蟲，他們可能要感謝自己的好運(yùn)了。

與Bug有緣的惡意軟件

還有更多的例子。2007年被披露的風(fēng)暴(Storm)蠕蟲由于更新版本時(shí)的一個(gè)錯(cuò)誤而變成了和風(fēng)細(xì)雨。黑客在更新病毒版本、編寫代碼中關(guān)于選取入侵系統(tǒng)類型的部分時(shí)，將Windows錯(cuò)拼成了Windoss。(有點(diǎn)敬業(yè)精神好不好?)

2014 年被披露的活力狗熊(Energetic Bear)，又名蜻蜓(DragonFly)，是一個(gè)用于滲透和破壞系統(tǒng)的惡意軟件。該軟件在安全研究人員的手里變成了小玩具，因?yàn)檠芯咳藛T找到了它從緩存中計(jì)算公鑰和私鑰的方式，獲得受害者自由訪問列表的方式，甚至是它未來版本的架構(gòu)細(xì)節(jié)。

通過同樣的方法，利用SimpleLocker被加密的安卓文件也可以被恢復(fù)。在總結(jié)銀行木馬Yaludle的漏洞時(shí)，安全人員表示，“SQL注入很漂亮，但不講衛(wèi)生”。

以彼之道，還施彼身

惡意軟件分析并不只是逆向工程師的工作，只要做足準(zhǔn)備，研究人員利用系統(tǒng)漏洞甚至可以控制攻擊者發(fā)動攻擊的服務(wù)器。

舉例而言，安全研究人員可以輕而易舉地將Conficker無害化。一旦該病毒注入了一臺電腦，就會從MaxMind上下載IP-地理地址數(shù)據(jù)庫，以找到自己在真實(shí)世界所處的位置。由于Conficker并不攻擊烏克蘭的電腦，如果這個(gè)數(shù)據(jù)庫中的所有IP都映射到烏克蘭，那么會引發(fā)蠕蟲自殺，停止傳播。通過向Conficker推送改動后的MaxMind數(shù)據(jù)庫，安全人員完全可以擊敗Conficker的攻擊。

我們鼓勵(lì)每一個(gè)人都來做這些事?！?/p>

(回復(fù)“malwarebug”，可獲得演講資料地址)

提醒：

研究人員在RSA大會上展示的PPT和他們的演講內(nèi)容有所不一樣。PPT上顯示的代碼實(shí)際上表明，Stuxnet并不會向Win 95和Win98系統(tǒng)上傳播，這可能是因?yàn)檠芯咳藛T所展示的是Stuxnet的修復(fù)版。他們所闡釋的通過逆向工程發(fā)現(xiàn)的Bug只是老版本的內(nèi)容，因此他們有可能只是將Stuxnet代碼中正確的一部分拿了出來，而在會議上介紹了那些有缺陷的部分。

以下C語言部分展示了Stuxnet進(jìn)行x86安裝檢測的源代碼：

if ( GetVersionExW(&OsVersion)

&& OsVersion.dwPlatformId == VER_PLATFORM_WIN32_NT

&& (OsVersion.dwMajorVersion >=5 || OsVersion.dwMajorVersion <= 6))

Install();

安全人員表示，以下這行代碼

(OsVersion.dwMajorVersion >=5 || OsVersion.dwMajorVersion <= 6))

對于Windows 9x、XP、200x、Vista和7而言都會返回True，這是沒錯(cuò)的。但是這段代碼

OsVersion.dwPlatformId == VER_PLATFORM_WIN32_NT

對Windows 9x系統(tǒng)會返回False，因?yàn)閃indows 95和Windows 98的dwPlatformId值都是1，VER_PLATFORM_WIN32_NT是2。因此，如果按照以上代碼來運(yùn)行，Install()永遠(yuǎn)不會在Windows 9x版本上被調(diào)用。

分享文章：震網(wǎng)蠕蟲中的一個(gè)Bug差點(diǎn)令其“出師未捷身先死”
文章鏈接：http://www.5511xx.com/article/djohicp.html