Легенда:
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
Предупреждение атак с помощью смены базового адреса загрузки приложения (rebasing) 05.02.03 02:00 Число просмотров: 3057
Publisher: dl <Dmitry Leonov>
|
Предупреждение атак с помощью смены базового адреса загрузки приложения (rebasing) Дэвид Литчфилд, перевод - Дмитрий Леонов david@ngssoftware.com http://www.ngssoftware.com/, http://bugtraq.ru/
В данном документе предлагается метод по борьбе с атаками, но не с самими уязвимостями. Перед тем, как перейти к делу, взглянем на Slammer (в очередной раз).
Что сделало Slammer столь успешным?
Решающий фактор, сделавший его столь успешным, - его способность к распространению.
А распространение его сделал неизбежным простой факт - у каждого уязвимого SQL Server/MSDE по адресу
0x42B0C9DC была расположена команда "jmp esp". Именно этот адрес использовался для получения контроля над SQL Server'ом и передачи управления в ту точку, где находился внедренный червем "произвольный код".
Этот адрес находится во внутренностях динамически загружаемой библиотеки (DLL) sqlsort.dll, базовый адрес которой - 0x42AE0000.
У каждого исполняемого файла или DLL есть так называемый базовый адрес, определяющий желательное расположение...
Полный текст
|
- Предупреждение атак с помощью смены базового адрес... - dl 05.02.03 02:00 [3057]
|
|
|