TechEd 2008 筆記 - Day 2
1 |
【以駭客角度看企業安全】
課程主軸不太明顯,但有幾個Demo挺驚悚的,速記幾個重點:
- 留意原本認為不可能發生問題之處,當真正發生時,傷害特別大(料想不到,故無防備)。例如: HD整顆被偷走? 新買的HD中有木馬?
- 端點(如: 個人使用的PC)其實是很脆弱的,裝了防毒不代表安全,而端點內資料的機密度並不亞於伺服器上的資料(Source Code、Connection String、Username/Password),許多攻擊會選擇從端點下手,再拼湊出進行下一步攻擊的所需資訊。
- Demo: U3 USB行動碟部分儲存空間摸擬成CD-ROM,導致其中躲藏的木馬就算被防毒掃到也刪不掉(CD-ROM唯讀),進行滲透可盜走IPConfig、SAM、Cookie、Browsing History(去過哪些網站,有Cookie說不定可以自動登入,或由到訪網站蒐集受害者的情資)、Hotfixes(沒上的就可以拿來攻擊)、Service List(有哪些Port可以連結?)、最近開啟的文件,木馬可將這些資料通通Copy回行動碟上。這一切只要一個插入USB動作就可完成!
- Demo: 設計製作精美的假程式安裝片寄到公司->總機/收發交給RD人員->RD人員拿到新軟體,迫不及待看看->中鏢!!
- Demo: 印刷精美的影音光碟,插入電腦後自動播放,木馬程式表面上播放影片,同時間正在偷資料、打包、寄出...
【IE8的企業應用考量】
- IE8多了Domain Hightlight,URL中的Domain Name會深色顯示、信任網站的網頁Tab會呈現綠色
- IE7 ActiveX Opt-In(詢問User要不要用ActiveX Control) 、ActiveX Kill Bits(經原開發廠商同意,禁用某個ActiveX Control)
- IE8 Per-User ActiveX(只對某個人開放使用) 、Per-Site ActiveX(有危險性的Control可標示只能在某站台使用)
- IE8 新增Cross Domain Request(發HttpRequest到Cross-Domain但被信任的網站)、Cross Domain Messaging(Cross Domain網頁間交換資訊)
- IE8的每個頁籤被隔在不同的Process中,單一網頁爛掉不會搞掛其他Tab內的網頁。IE Crash時,下回啟動可選擇重開原本開啟的各頁籤。
- 網頁可用Tag<meta http-equiv="X-UA-Compatible">指定用IE7模式,或在IIS設定對全網站所有網頁加料。
- IE8有1300項Group Policy可設定使用者如何使用IE(比IE7多200項)
- In Private模式: 瀏覽過程不留下任何Cookie、History。
- IEAK(Administration Kit): 可設計IE自動部署程序,IE8的IEAK又更Friendly了。
- IE8 Activity從Beta 2起更名為IE8 Accelerator(加速器) [第一次遇到Beta改版時連技術的名字都改了,玩Beta果然很刺激]
【.NET除錯技巧】
投影片及相關資料可至講師林泰宏的Blog取得: http://blogs.msdn.com/terrylin/
- VS2008可設定取回.NET Framework Source Code Debug。設定方法看這裡。
- 開發環境可用VS Line-By-Line Debug,正式環境則要靠Log或Windows Debugger(WinDbg)。
- WinDbg本來是用來Debug Unmanaged Code,加掛SOS.dll,也可以解析.NET程式。
- 基本常識: First Chance Exception,2nd Chance Exception(參考)。Visual Studio可設定在發生特定First Time Exception時觸發中斷。
- Demo: IE瀏覽一個簡單ASP.NET網頁,點選連結就IE Crash -> 用WinDbg Attach IE->故意引起Crash->WinDbg中斷於First Chance Exception->看Stack->可疑的jccatch.dll->FlashGet引起
- Demo: 用WinDbg Attach .NET WinForm程式->利用SOS的!dso , !do看到Connection String。Memory Dump可能內含機密資料,要小心運用。
- Demo: 用WinDbg !syncblk找出Waiting/Block Thread,~threadIds切換Thread,!clrstack看Call Stack
- Demo: 用WinDbg找出Value Type導致PropertyGird Control CPU Hang
【Vista靈異現象與破解】
本來以為會著重Vista UAC等特性可能造成問題的經驗分享,實際上這是一場茶包射手招生大會,紮實地介紹了茶包一哥Process Monitor/Process Explorer/AutoRuns的犀利之處。相信本站讀者應該都已見識過這些工具的強大威力,課程中聽到幾個精彩實例:
- 用ProcMon找出戰慄時空2的Registry讀取證據,追出疑似引用了某個DLL導致音效動畫Delay,更新DLL後排除。
- 某些機器開MMC很慢->ProcExp找出在讀取crl.microsoft.com(憑證黑名單),而機器未連Internet->改Registry不讀黑名單解決。
- 關機時出現無法關閉程式->CSRSS無法與某程式溝通(掛點了)->用Spy++找視窗Title->找到Process,疑似無用處->AutoRuns找出啟動設定,清除
- 一台機器裝兩個防毒軟體->CPU 100% Hang->ProcMon看檔案,發現二個防毒軟體搶著將有毒檔放進自己的隔離區,放入時被另一個防毒偵測出有毒,也想放入自己的隔離區,永無止境->移除其中一個防毒或將隔離排除不檢查
- 選取Folder壓Zip時,出現找不到檔案或無讀取權限->ProcMon找到Sharing Violation->重開機可解(黑註: 或用Unlocker解決)
- MyData目錄刪除後不久又自動出現->ProcMon Filter MyData Path->IEPro設了Image Cache Path。
另外,程式Crash時,Windows Error Reporting Service會將Memory Dump送至MS分析,XP時可以由UI上找到Dump檔位置,Vista則只有在傳送時才會產生,傳送完即刪除,可用WinDbg Attach後下.dump。
講師曹祖聖的Blog: http://teacher.syset.com/
【Silverlight 2.0】
Silverlight 2.0可以用C#, VB.NET寫Code,現成的控件完整許多,支援WCF、Socket、Data Binding,用VS2008配合Expression Blend 2.5設計起來已相當順手。本場次以現場操作示範為主,一言難盡,只分享一個心得,可以認真考慮將一些應用移至Silverlight上了!
講師董大偉的Blog: http://studyhost.blogspot.com/
Comments
# by Someonepoor
WinDBG這麼紅啊..@_@ 我個人覺得這個debug比VC自帶的好用多了. 可能打指令也是一種工程師的浪漫吧..XD