V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Virtao
V2EX  ›  程序员

从技术角度看 360,对 XP 盾甲 ASLR 实现机制的逆向分析

  •  
  •   Virtao · 2015-01-03 14:39:40 +08:00 · 4020 次点击
    这是一个创建于 3614 天前的主题,其中的信息可能已经有所发展或是发生改变。

    这篇文章是去年为某公司的面试准备的,虽然最终没有被录用,但是在这过程中收获很多,总结出这篇文章与大家分享。注意,本人不是360的黑或粉,除分析以外没用过360的产品。

    链接:
    http://blog.virtao.org/articles/213.html

    12 条回复    2015-01-04 14:31:52 +08:00
    invite
        1
    invite  
       2015-01-03 16:00:37 +08:00
    很高端.
    kacong
        2
    kacong  
       2015-01-03 16:06:58 +08:00
    想起了我研究ring 0 ring 1的时代。。
    yksoft1
        3
    yksoft1  
       2015-01-03 17:11:37 +08:00
    提问,它对NTLDR里代码的查找如何实现,因为NTLDR就算同是XP或者2003也有好几个版本,比如64位版,还有Embedded系统里支持EWF和FBWF机制的版本
    lsmgeb89
        4
    lsmgeb89  
       2015-01-03 17:26:37 +08:00   ❤️ 1
    以前网上有一份泄露出来的 Windows NT 内核代码,楼主倒是可以利用。
    knightzorro
        5
    knightzorro  
       2015-01-03 17:31:39 +08:00 via iPhone
    标记下 最近打算增强下内核调试的技能
    est
        6
    est  
       2015-01-03 17:35:02 +08:00   ❤️ 1
    mj0011
    mengskysama
        7
    mengskysama  
       2015-01-03 17:57:11 +08:00
    文章不错,感谢分享

    的确PatchGuard ASLR之类的技术让win7中招概率小了不少。不过PG也神烦要做到内核的保护和XP下面完全不是一回事。
    ericFork
        8
    ericFork  
       2015-01-03 18:36:08 +08:00
    @est QIQI
    est
        9
    est  
       2015-01-03 21:09:15 +08:00
    @ericFork 哈哈哈。。。wqxbase -> debugman
    Halry
        10
    Halry  
       2015-01-03 22:14:32 +08:00 via Android
    看到这个开机界面就觉得恶心,好彩没用winxp
    Virtao
        11
    Virtao  
    OP
       2015-01-04 09:48:59 +08:00
    @yksoft1 我猜测应该是逐个匹配。先期匹配大部分版本,对于小众版本,可以传到云端逐个匹配。

    @est 查了下,貌似是360的大神?
    yksoft1
        12
    yksoft1  
       2015-01-04 14:31:52 +08:00
    @Virtao 小众版本要匹配就太多了,Alpha版的Longhorn还是用NTLDR的呢,NT 3.51,NT4也是NTLDR呢 肯定有通用的找那段代码的方法
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1029 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 20ms · UTC 20:57 · PVG 04:57 · LAX 12:57 · JFK 15:57
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.