在刚刚结束的Defcon 2008上,Kolisar为我们展示了一种非常有创意的JS代码变形方法。
一篇介绍这种技术原理的blog在这里, Kolisar在大会上展示的PoC代码在这里,PPT在这里。
好了,给了一堆的链接,下面来谈谈我对这种新变形技术的一点体会。
首先,对于网页挂马的检测者来说,对于eval、document.write()、畸形长字符串等都是非常敏感的。 一般来说,在网页中出现这样一些特征语句时,往往就是一些挂马语句。更不用说如果直接出现类似<iframe src=”xxx.html” style=”display:none”/>这样的赤裸裸语句了。所以,Kolisar采用了遍历和枚举dom对象的方法来一步一步的获得对document对象的引用句柄和document对象的write方法和getElementById方法的使用。获取当前窗口对象句柄最直接的方法就是h=this。
接下来,从window对象开始,依次通过一些字符串长度和特征字节位的比较而获得document对象、document对象中的write、getElementById方法,并用数组来存储获得的这些对象和方法的句柄引用。不过经过我的测试,在IE 8 (beta 2)中 使用h[i][j](’p')这种方法访问dom节点是无效的,在FF 3.0.1中倒是测试可以通过。这应该是一个browser specific的特性。所以,这是该技术方法的一个约束条件。
有了这些对象和对象方法之后,接下来是如何读取并执行“嵌入的代码”了。Kolisar嵌入代码的方法非常特别,这也是他的这个Javascript变形技术的最具创新意味的地方。他把代码直接隐藏在了自己的解密代码之中!而所谓的隐藏代码就是空格和tab!将解密代码用鼠标选中反白之后,可以发现,从h=this;这行代码开始,后面几十行的代码的结束处都有一些留白。把鼠标定位到这些留白之后,通过方向键移动光标,我们可以清楚的看到这些空白是由一串有“规律”的tab和空格组成!对,就是空白!tab和空白的交替出现,代表了0、1字符串!这就是比特编码!再数一下这个空格和tab的数目,你又会发现,一定是每行各出现8次由空格和tab组成的空白!
说到这里,我们终于明白了。所谓的恶意代码其实就是一堆“空白”!这种方法,不仅可以逃过过滤程序的静态检测,就连专业安全分析人员的眼睛也无法发现它们!谁能想到一堆空白中其实蕴藏的就是恶意代码呢?
这个技术相当的不错,相信很快就能在网上看到利用这种技术来挂马的实例了,呵呵。
原文在这里:http://hi.baidu.com/tombkeeper/blog/item/089bcaf9b190e75f242df231.html
原文主要是针对媒体上频频出头大放厥词的专家,所以举了不少相应的例子。其中有些例子还是比较尖锐刻薄的。所以为了避免陷入无谓的“左愤”“右愤”之争,故将那些例子淡去。
我转此文并不在批判那些专家,而是觉得文中总结的专家式思维其实在咱们身边也是屡见不鲜的。有不少人偶然间学会了这种思维,从此就沉浸在这些荒谬逻辑所带 来的见识高人一等的快感中。而这些吞吐着卓尔不凡快感烟雾的瘾君子们所构成的人群,正是原作者要批判的那类专家生存的土壤。
写于– 2008年06月30日 星期一 :: 农历五月廿七
完整读完这篇文章,你就可以成为专家!
一、 不管别人提什么千奇百怪的问题,你都要回答:“这很正常。”这样做的好处是,既说明了自己见多识广,又能说明别人少见多怪,从而确立自己的专家地位。例 如:有人问“为什么汶川地震,我们国家的地震局,没有任何的预测?”你可以说:“这很正常,地震预测是世界性难题。”有人问:“为什么地震中学校的校舍倒 塌的那么多。”你可以说:“这很正常,地震的强度超过八级,所有的房屋都有倒塌的可能。”有人问:“为什么中国足球,搞了这么多年改革,现在连伊拉克都踢 不过?”你可以说:“这很正常,因为足球比赛中有很多不确定因素。”有人问:“你为什么老是说这很正常?”你可以说:“这很正常,因为我是专家。”
二、 要与正常人的见解有区别。专家之所以称为专家,就是要见人所未见,言人所未言。例如:有 人说:“物价涨的太厉害了。”你要说:“不是物价涨,是中国 的东西太便宜。”有人说:“股市跌得太厉害了,政府应该救市”你要说:“不行,要坚持中国股市的自由市场经济地位,避免政府对股市的干预。”有人说: “CPI增长了8.4%,活不了了。”你要说:“这样的物价水平,大多数人都能接受。”有人说:“中国专家狗屁不懂,一天到晚就知道吃饭。”你要说:“有 时候我们也吃屎。”
三、分析问题原因的时候,要分出一二三四。这一点很重要,就算是一个原因,你也要分出一二三四来,这样做,才能显示你对问题确实有研究,不愧对专家的称号。如果说一二三四的同时,你还遵循了先世界后中国的顺序,那么你就可以成为中国的著名专家了。 例 如,你可以说:“我分析汶川地震中校舍大量倒塌主要有三个原因:一从世界范围上来说,都存在地震中校舍倒塌的问题。例如美国……二是校舍倒塌,主要是因 为地震的强度比较大。三校舍倒塌,也存在建筑不合格的可能。”你还可以说:“我分析这次发改委提高油价有三个原因:一主要是受国际上油价上涨的影响。二人 民群众对柴油的求量增加。三石油生产企业的供应量减少。”你甚至可以说:“我分析专家的可信度降低有三个原因:一从世界范围来看,专家的预测通常都不太准 确。二人民群众的智商明显提高。三有些个别专家是猪,戴了个帽子,伪装成人类。”
四、要说那些别人听不懂或者听完之 后就迷糊的话,而且自己懂不懂没关系。例如有人问:“中国平安为什么会推出如此庞大的融资计划?”你可以说:“股市最重要的功能之一就是再融资,从经济学 的角度讲#¥……。”有人问:“你觉得中国楼价这么高正常吗?” 你可以说:“我们必须一分为二的看问题,虽然从某个角度来说,不正常,但是从社会学上来讲……”有人问:“为什么听完您的讲话,我有点困。”你可以说: “恭喜你,你听懂了!”
五、有两个最重要的原则,是保证你成为专家之后能在国家媒体上保持上镜率的关键:一要有大局观念。例 如,你可以说:“虽然我们的法制法规还不太完善,但是目前我们国家在这一方面已经有了长足的发展……”你还可以说:“虽然地震不可预测,但是我们 国家对于地震的科研工作还是相当的重视……”你甚至可以说:“虽然中国的专家都是猪,但是我们国家在饲料中添加了许多提高智商的添加剂……”二善于顾左右 而言他。例如,你可以说:“对于你提到中国看病难的问题,美国也存在这样的问题。我记得德克萨斯州1932年……”你可以说:“警察打人这样的事,只是警察队伍中个别人的个别问题,日本也有这样的情况,我记得在东京1625年……”
六、最后这招,是大家都熟悉的绝招 了,那就是:与世界接轨和中国特色。因为这是绝招,大家又是耳熟能详,所以在此,不再赘述。只举一例:有人问:“中国专家为什么工资这么高?”你可答:“ 与世界专家接轨。”有人问:“为什么别的国家的专家都是人,中国的却是猪?”你可答:“中国特色。”
综上所述,有此六技,则中国专家可成矣!
早上第一时间下载并安装了Chrome,TNND,不知道是不是RPWT,打开任何的网页都是崩溃。。。
下午已经有人放出了第一个DoS Exploit,可见Google的强大影响力!
不废话了,下面是漏洞描述和PoC。
—————————————————
Software:
Google Chrome Browser 0.2.149.27
Tested:
Windows XP Professional SP3
Result:
Google Chrome Crashes with All Tabs
Problem:
An issue exists in how chrome behaves with undefined-handlers in chrome.dll version
0.2.149.27. A crash can result without user interaction. When a user is made to visit
a malicious link, which has an undefined handler followed by a ’special’ character,
the chrome crashes with a Google Chrome message window “Whoa! Google Chrome has crashed.
Restart now?”. It lies in dealing with the POP EBP instruction when pointed out by the
EIP register at 0×01002FF4.
Proof of Concept:
http://evilfingers.com/advisory/google_chrome_poc.php
Credit:
Rishi Narang (psy.echo)
www.greyhat.in
www.evilfingers.com
—————————————————
PoC Working/Exploit:
Click for a demo here
