Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
Предупреждение атак с помощью смены базового адреса загрузки приложения (rebasing) 05.02.03 02:00
Publisher: dl <Dmitry Leonov>
|
Предупреждение атак с помощью смены базового адреса загрузки приложения (rebasing)
Дэвид Литчфилд, перевод - Дмитрий Леонов david@ngssoftware.com http://www.ngssoftware.com/, http://bugtraq.ru/
В данном документе предлагается метод по борьбе с атаками, но не с самими уязвимостями. Перед тем, как перейти к делу, взглянем на Slammer (в очередной раз).
Что сделало Slammer столь успешным?
Решающий фактор, сделавший его столь успешным, - его способность к распространению.
А распространение его сделал неизбежным простой факт - у каждого уязвимого SQL Server/MSDE по адресу
0x42B0C9DC была расположена команда "jmp esp". Именно этот адрес использовался для получения контроля над SQL Server'ом и передачи управления в ту точку, где находился внедренный червем "произвольный код".
Этот адрес находится во внутренностях динамически загружаемой библиотеки (DLL) sqlsort.dll, базовый адрес которой - 0x42AE0000.
У каждого исполняемого файла или DLL есть так называемый базовый адрес, определяющий желательное расположение...
Полный текст
|
|
|
подробно о проекте
Анализ криптографических сетевых...
