要说最恐怖的黑客攻击是什么,答案肯定是缓冲区溢出攻击。当年Windows爆发RPC溢出漏洞后,网络上每天有数百万台计算机被黑客入侵。黑客利用溢出漏洞无需复杂的技术,只需利用工具一个命令即可进入目标的计算机中,史上最强计算机病毒“震荡波”也正是利用PRC溢出漏洞进行传播的。而杀毒软件面对溢出攻击,却束手无策,这就是溢出攻击的恐怖之处。那么什么是溢出攻击?我们又该如何防范溢出攻击呢?请看本文。
什么是溢出攻击?
溢出,顾名思义和水溢出的原理相当。我们来举个简单的例子:有一桶干净的水,水面刚好和桶口齐平,我们将一杯污水倒入到这个桶中,这时水会发生溢出,但这不是重要的,重要的是已经有部分污水混入了干净的水,这时这桶水已经不再是一桶干净的水了。
把这个原理搬到溢出攻击中后可以这样理解:我们将一段恶意代码通过漏洞插入到程序正常的代码当中,由于代码长度是固定的,这段代码会有一部分正常代码被溢出,也就是说我们的恶意代码代替了正常的程序代码。在程序要调用这段代码的时候,它会将我们插入的恶意代码当作正常代码调用,这时溢出攻击就完成了。这段恶意代码可实现的作用是任意的,例如提升用户权限、造成程序崩溃等等。
本文相关软件
Enhanced Mitigation Experience Toolkit
软件版本:2.0.0.3
软件大小:4.66MB
软件语言:中文
应用平台:Windows XP/Vista/7
注:在安装之前,首先要安装.net framework 2.0。
下载软件:http://down.51cto.com/data/169420
由于溢出攻击属于黑客攻击行为,并不是什么病毒木马,因此杀毒软件在溢出攻击面前毫无招架之力,所以在电脑上安装杀毒软件并不能防御溢出攻击,而必须借助一些专业的防溢出安全软件。
防范溢出是一项比较复杂的工作,如果对系统进行防溢出配置,那需要花费大量的时间,并且需要一定的技术,因此借助于防溢出安全工具无疑是最好的选择。微软的防溢出工具Enhanced Mitigation Experience Toolkit(简称EMET)可以说是配置最简单也最有效的防溢出工具(谁让Windows是溢出漏洞大户呢)。EMET不仅可以防范Windows上的各种0day漏洞,还能防范第三方软件的0day漏洞,在漏洞补丁没有发布之前,EMET可以有效保护计算机不被黑客攻击。
EMET主界面
EMET可以提供数据执行保护功能(DEP),这是自XP SP2起加入的安全功能。DEP可以强制阻止位于内存中的可执行代码运行,仅允许纯数据内容,这样就能预防常见的漏洞利用方式。而通过EMET就可以让原本不具备DEP功能的应用程序获得这项功能。#p#
安装完毕后我们双击运行,EMET的界面可以说是相当之简洁。上半部分为系统全局状况,下半部分则是当前所有运行中的进程,可以查看是否支持DEP,是否被EMET强化过。上半部分的系统全局设置Configure System选项,对于Windows 7用户采用默认设置即可;对于XP用户,建议采用“Maximum Security Settings”,因为XP本身不具备SEHOP和ALSR(克服地址空间布局随机化限制,防止dll溢出)功能。
全局保护设置
而应用程序方面,鉴于目前被利用的绝大多数0day都来自与网络有关的应用程序,比如IE,所以我们要重点关照一下这些程序。点击“Configure Apps”,接着点“Add”,添加你希望保护的程序。完成后运行你刚才添加的程序(如果该程序添加前已经在运行则需要关闭重启之),此时,在EMET主界面上就会看到受保护的程序在“Running EMET”一栏里有了标识。
添加对单个程序的保护
以后只要网络上公布了Windows或某软件的0day漏洞,我们就可以通过EMET对其进行设置,这样即可临时解决溢出问题。当然,最终的解决办法还是安装漏洞补丁,这样才能一劳永逸。
【编辑推荐】
