从技术角度看 360,对 XP 盾甲 ASLR 实现机制的逆向分析

2015-01-03 14:39:40 +08:00
 Virtao

这篇文章是去年为某公司的面试准备的,虽然最终没有被录用,但是在这过程中收获很多,总结出这篇文章与大家分享。注意,本人不是360的黑或粉,除分析以外没用过360的产品。

链接:
http://blog.virtao.org/articles/213.html

4000 次点击
所在节点    程序员
12 条回复
invite
2015-01-03 16:00:37 +08:00
很高端.
kacong
2015-01-03 16:06:58 +08:00
想起了我研究ring 0 ring 1的时代。。
yksoft1
2015-01-03 17:11:37 +08:00
提问,它对NTLDR里代码的查找如何实现,因为NTLDR就算同是XP或者2003也有好几个版本,比如64位版,还有Embedded系统里支持EWF和FBWF机制的版本
lsmgeb89
2015-01-03 17:26:37 +08:00
以前网上有一份泄露出来的 Windows NT 内核代码,楼主倒是可以利用。
knightzorro
2015-01-03 17:31:39 +08:00
标记下 最近打算增强下内核调试的技能
est
2015-01-03 17:35:02 +08:00
mj0011
mengskysama
2015-01-03 17:57:11 +08:00
文章不错,感谢分享

的确PatchGuard ASLR之类的技术让win7中招概率小了不少。不过PG也神烦要做到内核的保护和XP下面完全不是一回事。
ericFork
2015-01-03 18:36:08 +08:00
@est QIQI
est
2015-01-03 21:09:15 +08:00
@ericFork 哈哈哈。。。wqxbase -> debugman
Halry
2015-01-03 22:14:32 +08:00
看到这个开机界面就觉得恶心,好彩没用winxp
Virtao
2015-01-04 09:48:59 +08:00
@yksoft1 我猜测应该是逐个匹配。先期匹配大部分版本,对于小众版本,可以传到云端逐个匹配。

@est 查了下,貌似是360的大神?
yksoft1
2015-01-04 14:31:52 +08:00
@Virtao 小众版本要匹配就太多了,Alpha版的Longhorn还是用NTLDR的呢,NT 3.51,NT4也是NTLDR呢 肯定有通用的找那段代码的方法

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/158814

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX