基本信息/信息系统安全防护技术
　　图书名称：《信息系统安全防护技术》
　　作者：谢建全 编著
　　出版社：中国宇航出版社
　　出版时间：2006年7月
内容简介/信息系统安全防护技术
　　在计算机网络不断普及的今天，信息系统网络化、全球化已成为信息系统发展的大趋势。但是，信息系统所面临的威胁也变得越来越严峻，安全与防护已成为信息系统应用中必须解决的首要问题之一。本书共分9章，第1章介绍了信息系统安全技术概况及安全标准；第2章阐述了计算机系统实体的安全与硬件防护方法；第3章阐述了计算机软件安全技术与加密技术；第4章阐述了数据加密技术，分析了一些常用的，并对其安全性进行了讨论；第5章阐述了备份技术和容灾技术；第6章阐述了技术，分析了常见的网络欺骗，并介绍了相应的防范措施；第7章阐述了防火墙技术，给出了防火墙的创建步骤；第8章阐述了入侵与检测技术、入侵检测系统的实现方法、密罐与密网；第9章介绍了计算机反病毒技术。本书可作为从事计算机信息安全技术研究与开发的工程技术人员的参考资料，也可供计算机信息安全相关专业的大专院校学生学习使用。
目录/信息系统安全防护技术
　　第1章 信息系统安全技术概论 1
　　1.1 信息系统安全的概念 1
　　1.1.1 信息系统安全的定义 1
　　1.1.2 信息安全的属性 2
　　1.1.3 信息系统安全体系结构 3
　　1.2 信息系统安全威胁的主要来源 6
　　1.2.1 对实体的威胁和攻击 6
　　1.2.2 对信息的威胁和攻击 7
　　1.2.3 计算机犯罪 9
　　1.2.4 计算机病毒 13
　　1.3 网络信息系统的脆弱性 14
　　1.3.1 操作系统的脆弱性 14
　　1.3.2 网络协议的脆弱性 15
　　1.3.3 数据库系统安全的脆弱性 16
　　1.3.4 工作人员的因素 17
　　1.3.5 影响网络信息系统安全的其他
　　因素 18
　　1.4 网络信息系统的安全对策 18
　　1.4.1 信息系统的安全需求 18
　　1.4.2 安全对策的一般原则 21
　　1.4.3 安全系统的具体设计原则 23
　　1.4.4 安全机制 24
　　1.4.5 安全措施 26
　　1.4.6 信息系统的安全技术 29
　　1.4.7 可信计算机与可信计算 30
　　1.4.8 容错计算机 31
　　1.5 网络信息系统的安全标准 32
　　1.5.1 美国可信计算机安全评价标准
　　（TCSEC） 32
　　1.5.2 欧洲的安全评价标准
　　（ITSCE） 34
　　1.5.3 加拿大的评价标准
　　（） 34
　　1.5.4 美国联邦准则（FC） 34
　　1.5.5 国际通用准则（CC） 34
　　1.5.6 我国的国家标准 35
　　第2章 计算机系统实体的安全与
　　硬件防护 36
　　2.l 实体安全技术概述 36
　　2.1.1 实体安全的内容 36
　　2.1.2 影响计算机实体安全的主要
　　原因 37
　　2.2 计算机房场地环境的安全防护 38
　　2.2.l 计算机房场地的安全要求 38
　　2.2.2 安全供电 39
　　2.2.3 接地与防雷 40
　　2.2.4 防静电措施 43
　　2.2.5 机房的温度、湿度、洁净度
　　要求 44
　　2.2.6 计算机场地的防火、防水措
　　2.2.7 防物理、化学和生物灾害 45
　　2.2.8 设备防盗 46
　　2.3 计算机的防电磁干扰 47
　　2.3.1 来自计算机内部的电磁干扰 47
　　2.3.2 来自计算机外部的电磁干扰 48
　　2.3.3 计算机中电磁干扰的耦合方
　　2.3.4 计算机中的干扰抑制技术 51
　　2.4 计算机的防 53
　　2.4.1 电磁泄漏对信息安全的威胁 53
　　2.4.2 计算机的电磁泄漏方式 54
　　2.4.3 计算机电磁泄漏的防护 54
　　2.5 记录媒体的保护与管理 57
　　2.5.1 记录媒体的分类 57
　　2.5.2 记录媒体的防护要求 58
　　2.5.3 磁记录媒体的管理 58
　　2.6 实体的访问控制 60
　　2.6.1 安全区域的定义与设置 60
　　2.6.2 实体访问控制 61
　　2.6.3 身份的鉴别 62
　　第3章 信息系统软件安全技术 64
　　3.l 软件安全的基本技术概述 64
　　3.1.1 计算机软件安全的定义 64
　　3.1.2 计算机软件安全的内容 64
　　3.1.3 计算机软件安全的技术措施 65
　　3.1.4 防拷贝加密 65
　　3.1.5 防静态分析 67
　　3.1.6 防动态跟踪 68
　　3.2 软盘防拷贝技术 68
　　3.2.1 软标记加密技术 69
　　3.2.2 软盘硬加密技术 71
　　3.3 硬盘防拷贝技术 72
　　3.3.1 主引导扇区设置密码防拷贝 72
　　3.3.2 利用文件存储位置信息防拷
　　3.3.3 利用逻辑锁防拷贝 73
　　3.4 光盘防拷贝技术 74
　　3.5 软件运行中的反跟踪技术 75
　　3.5.1 跟踪方法及其实现 75
　　3.5.2 反跟踪技术的分类 75
　　3.5.3 常用防跟踪技术 76
　　3.6 软件安全的其他技术 82
　　3.6.1 口令限制软件运行技术 82
　　3.6.2 软件激活技术 83
　　3.6.3 自毁软件技术 83
　　3.7 保证软件质量的安全体系 83
　　3.7.1 软件质量及可靠性的有关概
　　3.7.2 软件可靠性指标 84
　　3.7.3 软件故障的分类 85
　　3.7.4 软件测试与测试工具 86
　　第4章 数据加密技术 89
　　4.1 数据加密概述 89
　　4.1.1 密码学的发展历史 89
　　4.1.2 密码学的基本概念 90
　　4.1.3 数据加密的目标 92
　　4.1.5 算法的安全性 94
　　4.1.6 乱码本 95
　　4.2 传统加密方法 97
　　4.2.2 加密法 98
　　4.2.3 转轮密码机 100
　　4.2.4 对传统密码的密码分析 100
　　4.3 现代对称密码体制 101
　　4.3.1 序列密码体制及其实现 102
　　4.3.2 分组密码体制 103
　　4.3.3 DES算法 104
　　4.3.4 多重DES 107
　　4.3.5 DES的安全性讨论 108
　　4.3.6 对称密码体制的不足之处 109
　　4.4 公开密码体制 110
　　4.4.1 公开密码体制的理论基础 110
　　4.4.2 RSA 112
　　4.4.3 RSA的安全性分析 115
　　4.4.4 RSA系统安全参数的选择 117
　　4.5 密钥的管理和分发 120
　　4.5.1 密钥的生成 121
　　4.5.2 密钥的使用与存储 121
　　4.5.3 密钥的备份与恢复 122
　　4.5.4 密钥的销毁 122
　　4.5.5 密钥的分配 123
　　4.5.6 密钥的共享 124
　　4.6 量子密码 125
　　第5章 备份与灾难恢复技术 126
　　5.1 数据备份概述 126
　　5.1.1 引起数据损坏的因素 126
　　5.1.2 数据备份的基本知识 128
　　5.1.3 数据备份的常见方式 131
　　5.1.4 数据备份与恢复策略 132
　　5.1.5 完善的备份系统应满足的原
　　则 134
　　5.2 灾难备份的主要技术 134
　　5.2.1 基于磁盘系统的硬件备份技
　　术 135
　　5.2.2 基于软件方式的灾难备份技
　　术 139
　　5.3 几种存储备份解决方案 140
　　5.3.1 DAS方案 141
　　5.3.2 NAS方案 142
　　5.3.3 SAN存储备份方案 144
　　5.3.4 DAS、NAS和SAN存储方
　　案的比较 147
　　5.4 灾难备份与恢复 149
　　5.4.1 灾难备份的定义 149
　　5.4.2 灾难备份的层次 149
　　5.4.3 灾难备份易被忽视的因素 151
　　5.4.4 灾难备份建设的流程 152
　　5.5 容灾系统 154
　　5.5.1 容灾的定义及主要性能指标 154
　　5.5.2 容灾与备份的区别 155
　　5.5.3 容灾系统的等级 155
　　5.5.4 容灾系统的主要技术 157
　　5.5.5 容灾系统的建立 158
　　第6章 网络安全防护技术 163
　　6.1 网络安全概述 163
　　6.1.1 计算网络面临的威胁 163
　　6.1.2 计算机网络的主要漏洞 164
　　6.2.1 OSI安全体系结构 165
　　6.2.2 安全服务 166
　　6.2.3 安全机制 167
　　6.2.4 安全服务和安全机制的关系 169
　　6.2.5 层与安全服务及实现机制的
　　关系 169
　　6.3 网络安全防护策略 173
　　6.3.1 网络安全策略的作用 173
　　6.3.2 网络安全策略的等级 173
　　6.3.3 网络安全策略的动态性 173
　　6.3.4 网络安全策略的内容 174
　　6.3.5 网络规划的安全策略 175
　　6.3.6 网络管理员的安全策略 175
　　6.3.7 网络用户安全策略 176
　　6.3.8 网络安全实施过程中需要注
　　意的问题 177
　　6.4 网络访问控制措施 179
　　6.4.1 入网访问控制 179
　　6.4.2 网络的权限控制 180
　　6.4.3 目录级安全控制 180
　　6.4.4 属性安全控制 181
　　6.4.5 网络服务器安全控制 181
　　6.4.6 网络监测和锁定控制 181
　　6.4.7 网络端口和节点的安全控制 181
　　6.4.8 防火墙控制 182
　　6.4.9 路径控制 182
　　6.5 常见欺骗技术及其防范 182
　　6.5.1 IP欺骗技术及防范 182
　　6.5.2 Web欺骗及防范 185
　　6.5.3 电子邮件欺骗及防范 188
　　6.6 网络的物理隔离技术 189
　　6.6.1 物理隔离的概念 189
　　6.6.2 网络隔离的技术原理 192
　　6.6.3 物理隔离网络的数据交换 194
　　6.6.4 物理主要功能 196
　　第7章 防火墙技术 197
　　7.1 防火墙技术概述 197
　　7.1.1 防火墙的概念 197
　　7.1.2 设置防火墙的目的和功能 198
　　7.1.3 防火墙的局限性 200
　　7.1.4 防火墙技术发展动态和趋势 201
　　7.2 防火墙的技术分类 203
　　7.2.1 包过滤防火墙 203
　　7.2.2 代理型防火墙 205
　　7.2.3 状态分析技术防火墙 208
　　7.2.4 防火墙的地址转换技术 209
　　7.3 防火墙的体系结构 210
　　7.3.1 分组过滤型体系结构 210
　　7.3.4 屏蔽子网体系结构 213
　　7.4 防火墙选择 214
　　7.4.1 防火墙产品选购策略 214
　　7.4.2 防火墙的主要技术指标 216
　　7.4.3 防火墙种类的选择 218
　　7.4.4 防火墙过滤技术的选择 220
　　7.5 创建防火墙的步骤 221
　　7.5.1 制定安全策略 221
　　7.5.2 搭建安全体系结构 222
　　7.5.3 制定规则集 222
　　7.5.4 落实规则集 223
　　7.5.5 做好审计工作 223
　　第8章 入侵与检测 224
　　8.1 概述 224
　　8.1.1 入侵检测系统简介 224
　　8.1.2 入侵检测与P2 DR模型 225
　　8.1.3 发展趋势 226
　　8.2 入侵检测系统的基本原理 227
　　8.2.1 信息收集 228
　　8.2.2 数据分析 229
　　8.2.3 响应 235
　　8.3 入侵检测的分类 237
　　8.3.1 基于主机的入侵检测系统
　　（） 237
　　（） 240
　　8.3.3 分布式入侵检测系统 242
　　8.4 入侵检测系统的设计与实现 244
　　8.4.1 分析系统的检测功能需求 244
　　8.4.2 部署入侵检测器 245
　　8.4.3 应用于交换机环境时的问题 246
　　8.4.4 响应策略 247
　　8.4.5 入侵检测产品的选择 248
　　8.4.6 在实现过程中可能碰到的问
　　题 250
　　8.5 网络诱骗 252
　　8.5.1 密罐主机技术 252
　　8.5.2 密网技术 255
　　8.5.3 常见网络诱骗工具 256
　　第9章 计算机病毒及防治 257
　　9.1 计算机病毒概述 257
　　9.1.1 计算机病毒的产生原因 257
　　9.1.2 计算机病毒的发展历史 258
　　9.1.3 计算机病毒的发展趋势 259
　　9.2 计算机病毒的工作原理 261
　　9.2.1 计算机病毒的特性 261
　　9.2.2 计算机病毒的传染机制 264
　　9.2.3 计算机病毒的一般原理 265
　　9.3 计算机病毒的分类 267
　　9.4 计算机病毒的检测与消除 270
　　9.4.1 病毒检测方法 270
　　9.4.2 病毒的清除 273
　　9.5 计算机病毒的防范 276
　　9.5.1 预防计算机病毒的管理措施 276
　　9.5.2 预防计算机病毒的技术措施 279
　　9.5.3 网络病毒防范的技术要求 280　
&|&相关影像
互动百科的词条（含所附图片）系由网友上传，如果涉嫌侵权，请与客服联系，我们将按照法律之相关规定及时进行处理。未经许可，禁止商业网站等复制、抓取本站内容；合理使用者，请注明来源于。
登录后使用互动百科的服务，将会得到个性化的提示和帮助，还有机会和专业认证智愿者沟通。
此词条还可添加&
编辑次数：1次
参与编辑人数：1位
最近更新时间： 01:12:51
贡献光荣榜信息系统安全防护_百度文库
两大类热门资源免费畅读
续费一年阅读会员，立省24元！
信息系统安全防护
上传于|0|0|暂无简介
阅读已结束，如果下载本文需要使用1下载券
想免费下载本文？
定制HR最喜欢的简历
下载文档到电脑，查找使用更方便
还剩15页未读，继续阅读
定制HR最喜欢的简历
你可能喜欢Maxthon2(遨游2) mxsafe.dll对网页木马的防护以及绕过
maxthon2(遨游2) mxsafe.dll对网页木马的防护以及绕过
-----------------------------------------------------------------------
maxthon2启动的时候装载mxsafe.dll对一些api进行了hook.在浏览器里运行程序,如果这些程序不在其信任列表里面,就会蹦个框,要求允许/禁止.所以,大部分下载木马在启动的时候就被检测到了.
要知道mxsafe hook了哪些api. od maxthon.exe, bp WriteProcessMemory, F9看改了哪些地址.或者启动maxthon.exe,用rooktit unhooker扫下code hooks就知道了.
hook啥 (maxthon.exe v2.0.3.4643, mxsafe.dll v1.0.0.477)
---------------------------
修改ntdll.dll 导出表hook:
[1] ZwCreateProcessEx/ZwCreateProcess // 检测winxp,创建进程
[2] ZwWriteVirtualMemory // 为检测代码注入
kernel32.dll iat hook:
[3] ZwCreateProcessEx(xp 2003)/ZwCreateProcess(2000)// 检测winxp,创建进程
[4] ZwWriteVirtualMemory // 为检测代码注入
kernel32.dll inline hook:
[5] LoadLibraryExW // 检测LoadLibraryA/W调用
[6] CreateProcessInternalW // 检测CreateProcessA/W调用
咋绕过
------------------------------
要做到偷偷的进城,打枪的不要,就要在shellcode里unhook掉上述的[3],[4],[6].
unhook掉[6]的inline好办,mxsafe.dll只修改了CreateProcessInternalW的头几个字节做relative jmp,改回原始的就行了.
unhook掉[3],[4]在shellcode里要稍微麻烦点,因为内存ntdll.dll映像导出表里面的ZwCreateProcess (Ex),ZwWriteVirtualMemory已经被mxsafe改掉了,所以通过手工解析导出表来获取原始的native api地址,进而恢复iat hook的路就堵上了.但是天无绝人之路嘛,还是有几种办法可以得到真实的地址:
1. 读取原始的ntdll.dll文件,手工解析导出表得到真实地址.
2. 搜索内存ntdll.dll映像的.text段,用特征匹配找到native api的地址.
1方法实现起来麻烦.2方法简单点,需要注意的是一些细节问题:
先看下ntdll.dll里面的ZwCreateProcess(Ex)代码.
win 2003 sp1 ZwCreateProcessEx 0x32
------------------------------------------
7C NOP
7C9512A8 & B8
MOV EAX,32 // syscall id
7C9512AD BA 0003FE7F MOV EDX,7FFE0300
7C9512B2 FF12 CALL DWORD PTR DS:[EDX]
7C 2400 RETN 24
win xpsp2 ZwCreateProcessEx 0x30
------------------------------------------
7C92D74E 90 NOP
7C92D74F 90 NOP
7C92D750 90 NOP
7C92D751 90 NOP
7C92D752 90 NOP
7C92D753 90 NOP
7C92D754 & B8
MOV EAX,30 // syscall id
7C92D759 BA 0003FE7F MOV EDX,7FFE0300
7C92D75E FF12 CALL DWORD PTR DS:[EDX]
7C92D760 C2 2000 RETN 20
win 2000 ZwCreateProcess
--------------------------------------------
77F88306 8BFF MOV EDI,EDI
77F88308 &/$ B8
MOV EAX,29 // syscall id
77F8830D |. 8D5424 04 LEA EDX,DWORD PTR SS:[ESP+4]
77F88311 |. CD 2E INT 2E
77F88313 \. C2 2000 RETN 20
发现什么了? 同一个ZwCreateProcessEx的syscall id在xp,2000是不一样的,并且2000只有ZwCreateProcess,所以想一个特征通杀2000/xp/2003是不行的.
所以, 在xp要匹配0x,在2003要匹配0x,找到真实地址后,再到内存kernel32.dll映像的导入表里搜索 NtCreateProcessEx.(因为xp/2003的CreateProcessA/W不用NtCreateProcess创建进程),然后修复 iat hook.
在2000要匹配0x00029B8,kernel32.dll搜索NtCreateProcess,修复.
NtWriteVirtualMemory的类似,就不多说了.
示例代码就不提供了,有兴趣的,折腾几下就出来了.
咋防护
---------------
ring3是靠不住的,既然shellcode都运行起来了,还不是你hook啥,我unhook啥的体力劳动.要深度防御,还是进ring0吧.
最后
---------------
对于win2003,如果CPU支持DEP,boot.ini里面又是/noexecute=optout,毋须mxsafe.dll劳神,heap spray就挂了.
没测试vista,不过估计UAC也不是吃素的
顶一下(0) 踩一下(0)
热门标签：安全保护技术ASLR绕过启示录 -
| 关注黑客与极客
安全保护技术ASLR绕过启示录
共214305人围观
，发现 21 个不明物体
最近许多APT攻击使用了新的技术绕过地址随机化（ASLR），虽然地址随机化是当前操作系统最有效的防护机制之一，但还不够完善。在过去一年里，我们发现了以下几个有趣的绕过ASLR的技术：
使用未开启ASLR的模块
修改BSTR长度/null结束符
修改数组对象
注：标准BSTR是一个有长度前缀和null结束符的OLECHAR数组。
下面详细讲解这些技术。
0×1:未开启地址随机化的模块
&&&&加载一个未开启地址随机化的模块是最容易也是最流行的绕过地址随机化保护的方法，在IE 0day中最常使用的两个未开启地址随机化的模块是：MSVCR71.DLL和 HXDS.DLL。
& & JRE 1.6.x包含了一个老版本的C 运行库 MSVCR71.DLL，编译时没有加上/DYNAMICBASE 编译选项。默认情况下,在win7+ie8 和 &win7 +ie9 下，这个DLL会以固定地址加载到IE的进程中。
& & MS Office 中的 HXDS.DLL &编译时也没加上相关选项，该技术最先是在http://www.greyhathacker.net/?p=585提出，也是当前在IE 8/9 + win7 环境下使用最频繁的过地址随机化的方法，当浏览器加载一个带try location.href = ‘ms-help://’ 语句的页面时，这个DLL就会被加载。
下面的0day利用里面，至少使用了其中一种技术绕过地址随机化：
， ， CVE-，&
使用条件：
通过未开启ASLR模块来绕过ASLR的方法要求被攻击机器运行了较老的软件如 JRE 1.6
或者 Office
，升级到最新版的JAVA/OFFICE 就可以这种类型的攻击。
0×2:修改BSTR长度/null 结束符
&&&&这个技术是Peter Vreugdenhil在 2010 &Pwn2Own IE 8 上利用的，它只适用于可以覆写内存的漏洞，例如缓冲区溢出，任意地址写 和 对可控指针所指向的内存内容执行增加或减少操作的漏洞。
&&&&任意地址写入 类型的漏洞不能直接控制EIP，多数时候，这种类型的漏洞利用会覆写程序重要的数据如函数指针来达到执行代码的目的。对于攻击者来说，他们可以随意修改BSTR的长度，然后利用BSTR去控制超出边界的内存，这样就可以泄漏内存地址，精确找到可以构造rop的dll 。一旦通过这种方式绕过了地址随机化，也可以使用同样的漏洞控制EIP。
&&&&为数较少漏洞可以用来修改BSTR的长度。例如，一些漏洞只能增加或减少指针一两个字节，这种情况下，攻击者可以修改字符串的null结束符使该字符串和下一个对象连接起来，这样下一个对象就成为该字符串的一部分，而在这个对象中，一般可以找到和DLL基址相关的信息。
在 Adobe XFA 0day利用中，使用了上述技术找到了AcroForm.api 的基址，动态的构造了rop链绕过ASLR 和 DEP ,在这个漏洞里，攻击者可以将可控指针指向的内容减一，然后从虚函数表中调用函数。
想像一下在Dec操作之前的内存布局，如下：
[string][null][non-null
data][object]
dec操作之后（在我测的时候，减少了两次），内存布局变成了：
[string][\xfe][non-null
data][object]
更多细节请查看.
使用条件：
&&&&这个技术通常需要多次写入来泄漏需要的信息，攻击者需要非常精准的设计堆的布局，保证length字段被覆写而不是内存中其他的对象。从IE 9开始，微软使用了Nozzle（/pubs/81085/usenixsec09b.pdf）来防止堆喷/风水，所以有时攻击者需要使用来精准布局堆。
修改数组对象
&&&&数组对象长度修改和BSTR长度修改相似：他们都需要“好用”的漏洞。从攻击者来看，一旦数组长度被修改，攻击者既可以任意读写内存或者控制程序流程，到达代码执行的目的。
下面是使用该技术的0day利用。
&&&这个漏洞是Flash player在处理regex时的堆溢出，攻击者覆写了Vector.&Number&对象的length属性，然后就可以读取更多的内容，获取flash.ocx的基址。
&&&这个漏洞利用流程如下：
Step1:通过申请下面所示的对象来设置连续的内存布局：
Step2:如下所示释放掉上面申请的对象中序号为1的&Number&对象。
Step3:申请一个RegExp对象，这次申请会重新使用刚才释放掉的位置。
boom = "(?i)()()(?-i)||||||||||||||||||||||||";
var trigger = new RegExp(boom, "");
&&& 然后，当触发漏洞后，会覆写掉obj[2]里的 Vector.&Number&对象的长度属性，使其变大，攻击者就可以通过obj[2]来读写一个大范围的内存空间来定位flash.ocx的基址，然后覆写掉虚表达到代码执行的目的。
&&& 这个漏洞是IE CBlockContainerBlock& 对象UAF ,利用程序和CVE-很像，但是更复杂一些。
&&& 这个漏洞使用 OR 指令修改任意内存内容，大致如下：
or dword ptr [esi+8],20000h
利用流程如下：
首先，使用Vector.&uint&对象填充堆。
在填充之后，这些对象以对齐的方式存储在一个固定的地址。
像是这样：
第一个dword
0x03f0是Vector.&uint&对象的长度，黄色标记是我们填充的值。如果攻击者将esi+8指向0x03f0,当or指令执行过后，变为0x0203f0,看到没，大多了！！由于可控范围变大，可将紧接着的对象长度改为0x3FFFFFF0。
然后，攻击者就可以控制整个IE进程的内存空间了，NB！地址随机化也就没用了，因为可以直接从内存中获取到kernel32/NTDLL的基址。通过从代码段动态寻找stack pivot
gadgets，从IAT定位到ZwProtectVirtualMemory，就可以构造rop链修改内存属性绕过DEP.
通过精确的内存布局，攻击者又申请了一个包含flash.Media.Sound()对象的Vector.&object&，使用已经被修改过的Vector.&uint&对象去寻找sound对象，然后覆写它的虚表指向rop链和shellcode.
&&&这是FireFox的DocumentViewerImpl对象的UAF漏洞，可以任意内存写入一个word值0×0001.
&&&&上面的代码中，所有以 ‘m’开头的变量都是从我们可以控制的对象中读取的。如果可以设置对象，进入第二个条件判断，强制跳进setImageAnimationMode（）调用，触发内存覆写。setImageAnimationMode()内部代码大概如下：
在这个利用中，攻击者尝试使用ArrayBuffer来精确布局堆。下面的代码中，每一个var2中的ArrayBuffer原始大小为0xff004
触发漏洞后，ArrayBuffer长度增加为0x010ff004.也可通过在JS中比较byteLength来定位被修改了长度的ArrayBuffer ,然后攻击者可通过这个ArrayBuffer来读写内存了。这次，攻击者选择从SharedUserData(0x7ffe0300)泄漏NTDLL的基址,然后手动硬编码偏移来构造ROP.
&&&这个漏洞是JAVA CMM的整数溢出漏洞，可以覆写数组长度。在漏洞利用中，数组长度可以到达0x7fffffff，攻击者可以搜索securityManager对象然后设置它为null来绕过沙盒。
&&&这个方法相较于覆写函数指针，处理地址随机化和数据执行保护以到达代码执行更加有效。
&&&数组对象修改技术比其他的要好一些。因为Flash ActionScript vector技术，堆填充一点都没受影响。只要你有内存覆写漏洞，很轻松的就可以利用。
几种技术细节对比对比：
绕过ASLR技术
修改数组对象
高级利用技巧
扩大数组长度后可以任意内存读写
需要有内存覆写漏洞
需要被攻击者安装flash
FireFox uaf 可以覆写一个用户控制的指针& 修改ArrayBuffer长度到达任意内存读写
IE& UAF 。攻击者可以修改Vector.&Uint&的长度,然后寻找构造rop的指令
JAVA整数溢出，覆写数组对象长度，到达任意内存读写
FLASH PLAYER 正则表达式缓冲区溢出，修改Vector.&Number&对象到达任意内存读写
修改BSTR null结束符
高级利用技巧
能泄漏部分内存绕过地址随机化
内存覆写漏洞
不同的Adobe Reader需要硬编码不同的rop 偏移
Adobe Reader 未初始化内存使用&& 修改BSTR& null结束符泄露内存
使用未开启地址随机化的模块
不太需要技巧
特定版本的软件
IE UAF 从hxds.dll中构造rop 绕过地址随机化和数据执行保护。
IE UAF JRE 1.6 和 OFFICE 2010 未开启地址随机化
&&& 绕过地址随机化是现在漏洞利用最基本的需求，之前利用MS OFFICE未开启ASLR dll来绕过，但是微软在最新的操作系统和浏览器里面做了限制。之前的技术将淘汰也更容易被检测，攻击者需要更先进的技术，对于可以覆写内存的漏洞，结合Vector.&uint& 和 Vector.&object&将更加可靠和灵活，从只能写一个字节到大范围读写内存将非常容易，而且适用于各种操作系统，应用程序，语言版本。
&&& 许多研究者公布了对于绕过地址随机化的研究，像Dion&Blazakis的
and tombkeeper 的 技术。但是至今还未见使用，可能是因为这些技术是通用的对抗ASLR的方法，所以一经公布，很快就被修补了。
&& &但是没有一种通用的办法修补特定的漏洞利用，希望将来有更多的0day使用相同的或者更加高级的技巧，我们可能需要在OSs里面加入新的防护措施和安全产品来对抗0day攻击。
原文链接：/windbgPDF版下载地址：/s/1GHl7i
讲得很详细，文章很通俗易懂，不过我看不懂
必须您当前尚未登录。
必须（保密）
这家伙太懒，还未填写个人描述！
关注我们 分享每日精选文章