Метафизика wmf файлов
Метафизика wmf файловВведение
атака прошла успешно!рабочий стол после атаки
Microsoft Anti-Spyware борется против wmf-заразы
один из многих сайтов, раздающих wmf-эксплоит
прибитый beehappyy.biz
Google Desktop Search
первый wmf-червь, распространяющийся по MSN-Messenger
wmf-червь, распространяющийся через электронную почту
Врезка что такое wmf
изображение, сохраненное в метафайле
Листинг1 вывод метафайла на экран
Врезка уязвимые системы
реакция IE – wmf-файл
реакция браузера Opera
реакция Irfan Viewer'а на wmf-эксплоит, shell-код получает управление!!!
Листинг3 модифицированная программа для проигрывания метафайлов
определение дислокации
Как это работает или технические детали
принцип действия типичного wmf-эксплоитов
Листинг44 фрагмент файла wmfdata.cpp, хранящего готовый wmf-файл в виде массива
Листинг5 быстрый и грязный конвертор, преобразующий C-массив в двоичный файл
это диалоговое окно выводится shell-кодом wmf-эксплоита
структурная анатомия стандартного метафайла
Листинг6 структура заголовка метафайла
Листинг7 структура фреймовых записей
Листинг8 откомментированный фрагмент простейшего wmf-эксплоита
Листинг8 откомментированный фрагмент простейшего wmf-эксплоита - 2
Листинг9 ключевой фрагмент полиморфного эксплоита Metasploit Framework без боевой начинки
Врезка допустимые значения различных полей метафайла
Как защищаться
червь атакует уязвимвуюуязвимую систему
разрегистрация shimgvw.dll отсекает только часть червей
официальная заплатка от Microsoft
выдирание cab-архива из исполняемого файла автоматического инсталлятора
распаковка выдранного cab-архива rar'ом
неофициальный hotfix отсекает всех известных червей, ломящихся в META_ESCAPE
Листинг1010 ключевой фрагмент hotfix'а от Ильфака
Листинг11 функция Escape, пропатченная Ильфаком
Листинг12 дизассемблерный листинг
Листинг13 шаблоны, используемые Ильфаком для распознавания пролога Escape
Внутри GDI32.DLL
Листинг 1411 дизассемблерный фрагмент PlayEnhMetaFileRecord из GDI32.DLL W2KSP4
Заключение
Врезка интересные ссылки
FreeBSD - статьи
Џрежде всего надо отметить, что правильнее говорить не о "правах юзера" по отношению к какому-нибудь файлу, а о "правах процесса" (выполнЯемой программы).* ‚о-первых, если юзер и вносит какие-то изменениЯ в файлы или директории, он это делает с помощью каких-то программ (редакторов, "коммандеров", системных утилит длЯ копированиЯ, удалениЯ файлов и т.п.), которые в момент выполнениЯ ЯвлЯютсЯ процессами.
* ‚о-вторых (что более важно), не все программы запускаютсЯ юзерами "вручную". Ќекоторые из них (демоны) запускаютсЯ при старте системы. „ругие могут запускатьсЯ в определенные моменты времени (с помощью программы cron), или вызыватьсЯ по мере необходимости длЯ обслуживаниЯ запросов приходЯщих по сети (обычно их запускает программа-"диспетчер" inetd). Љроме того, существует рЯд программ, которые длЯ выполнениЯ каких-то вспомогательных действий сами запускают другие программы (в этом случае говорЯт, что процесс-"родитель" запустил процесс-"потомок"). ЏонЯтно, что хотелось бы и этим программам (процессам) ограничить доступ к файлам.
„обавление из дистрибутива
FreeBSD 5.2. Џервые впечатлениЯ
”айловаЯ система устройств
Ќастройка mysql
‡апуск Linux-приложений из FreeBSD
Њониторинг загрузки канала интернет-шлюза на FreeBSD
PC-BSD: вхождение в берклианскую тему
Ќастраиваем русский Unicode во FreeBSD
FreeBSD 2.0 длЯ чайников
Содержание раздела
