作者 主題: 2006 資安群英會會後筆記  (閱讀 8754 次)

0 會員 與 1 訪客 正在閱讀本文。

小徒兒

  • 區域板主
  • 鑽研的研究生
  • *****
  • 文章數: 622
    • 檢視個人資料
2006 資安群英會會後筆記
« 於: 2006-12-19 16:55 »
下午才到 所以只有下午的 keyword有了 細節就問google囉
HTI

講師:
PK 江澤

***Tools
Helix, Hideman

Etheral #read Ethdump file

   -follow up tcp  stream
   -analyzer , add jpg filter  
   -Jpg file "JFIF" in 16

***Attack
DDOS


----------------------------------------------
講師:徐千洋
Tim Hsu
Publishing:
                  1. Linux 函式庫參考手冊 (旗標)
                  2. Linux 函式庫詳解辭典(旗標) 
      3. The Wargame - 駭客訓練基地 (旗標)
      
Topic:  Linux Security Overview

email: timhsu@chroot.org



***Rootkit
Buffer Overflow
Heap Overflow
Integer Overflow

***Hacker Solar Designer
Non-executable stack patch

int 0x80 為起始點

/linux/arch/i386/entry.S
sys_call_table

..........................................................
|____________
||  entry.s      |
||__________ |=>  sys_call_table
|l
-----------------------------------------------


strcpy(data,shellcode) 遇到0就結束

http://www.openwall.com
http://pax.grsecurity.net



***kernel patch 手動加到核心
kernel patch
mprotect  XD NX (AMD)


***protect by: ASLR 隨機記憶體配置

***SUID exec: ping, passwd


***against exploit possilbe
Pax, openwall, Exea-Shield, Grsecurity


***Reduce SUID program privilege
POSIX Capabilities

***Access Control
LIDS, SeLinux, RSBAC

http://people.redhat.com/mingo/execshield

kernel, exec-shield 保護

PHRACK Hadeer 雜誌

***Grsecurity

www.grsecurity.net
PaX
Trusted Patch Execution (TPE)

***SELinux
http://www.nsa.gov/selinux
SLIDE(graphic interface SELinux)

Viirgil

RSBAC "Rule set Based Access Control"
www.rsbac.org


                            安全性    安裝容易度    複r雜度

Pax/Exec-Shield     ***                ***                     *
Grsecurity              ****              **                       **
LIDS                      ***                *                        ***
SELinux                  ***                ***                    **************
RSBAC                   ***                ****                  *****


Kernel root kit
rootkit

***Rootkit
backdoor
Hidden
Sniffer

***RootKit
LKMs
可以載入道已經存在的Module /核心

改變VFS/Replace system Call

***Install via /dev/kmen
Example:SuckIT
/dev/kmen
hide PID
TCP socket sniff TTYS


/proc/sys/kernel/cap-bound

***CAP-CHOWn
CAP_FSIID
CAP_Linux_Tmnntable
CAP_SYS_MODULE
CAP_SYSPTRACE


***disable for performance
echo "kernel.randomize_va_space=0" >> /etc/sysctl.conf



-------------------------------------------------------------
講師:Birdman
大同研究所 博士

X-Solve

Rootkit

***Spyware
Adware
Browser Hijacker

***Invasive Purpose
Trojan Horse, Backdoor, key-logger,Rootkit

Virus Bulletin


^_^ 笑話 人腦不能patch
^_^ 笑話    生命會找出出路

  | --------------------------------------------------------------------------------------------------------|
      | Fast             |        |                            |
      |                |        |                            |
      |                |        |                            |
      |   prevention        |        M     Problem Space                |
      |                |        A                            | 
      |                |        X                            |
      |                |    -->   |                            |
      |                |        |                            |
      |                |        |                            |
      |                |        |------------------------------------------------------ |
      |                |        |                            |
      |                |        |                            |
      |                |        |        Respone                 |
      |                |        |                            |
      |                |        |                            |
       slow-----------------------------------------------------------------------------------------------------  
                            know |Unknow   



XXX對word沒有戒心
dll injection, parent 是檔案總管
Prop Spy
Comph.dll




^_^ 笑話 老師寄給你word檔,補考通知單,要不要開,成績不好
^_^ 笑話 麵包超人的icon
^_^ 笑話 IE I蝦米E
^_^ 笑話    Oh! Ya! ^ _____ ^ Really Happy


DLL Injection spyware
Code Injection spyware


***Rootkit

Sony BMG (autorun)

***API Hooking
icyfox