去年我在研究開發惡意文件偵測技術 - mdscan 時,就在試著找尋適合的 x86 emulator。可惜,找到的幾乎都是 Virtualizer 性質,非我所需要。
一月時無意間發現了 libemu,這兩天就著手將原來 mdscan 的動態追蹤核心,換成 libemu 來模擬執行。
Malicious Document Scan Tool Version 0.5
---------------------------------------------------
Copyright (c) 2009 Net-Hack Technology Co.,Ltd. All rights reserved.
Scanning CVE/MS08-014/69a7b1dd0af391523ae55a846232c68f
opcode: E8E4FFFFFF call 0xffffffe9
opcode: 5E pop esi
opcode: 8BFE mov edi,esi
opcode: 8BD6 mov edx,esi
opcode: 83C214 add edx,0x14
opcode: 52 push edx
opcode: B96A030000 mov ecx,0x36a
opcode: AC lodsb
opcode: C0C000 rol al,0x0
opcode: AA stosb
opcode: 49 dec ecx
opcode: 75F8 jnz 0xfffffffa
opcode: AC lodsb
opcode: C0C000 rol al,0x0
opcode: AA stosb
opcode: 49 dec ecx
opcode: 75F8 jnz 0xfffffffa
opcode: AC lodsb
opcode: C0C000 rol al,0x0
opcode: AA stosb
opcode: 49 dec ecx
opcode: 75F8 jnz 0xfffffffa
opcode: AC lodsb
opcode: C0C000 rol al,0x0
opcode: AA stosb
opcode: 49 dec ecx
opcode: 75F8 jnz 0xfffffffa
opcode: AC lodsb
不過,libemu 缺乏詳細的文件,而且有些 instructions 並沒有 mapping(例如 opcode: A8 and A9),有些 API 也不甚明白是什麼作用,畢竟還在 version 0.2 開發中吧!
想試著研究 shellcode 追蹤或是自動化解殼(unpack)的朋友,不妨試試。
2009年2月3日 星期二
舊 blog 文章轉換到 blogger
感謝 google-blog-converts-appengine 的 blog 轉換程式,已成功將我舊 blog 的內容,轉移至此啦!
google-blog-converts-appengine 是用 python 語言開發,要額外裝 ElementTree 即可正常執行。
google-blog-converts-appengine 是用 python 語言開發,要額外裝 ElementTree 即可正常執行。
2008年3月8日 星期六
Gmail 釣魚網站
今日有研究員 D 先生回報,收到 Gmail 釣魚網站郵件,分析如下,僅供參考。
------ 底下為釣魚郵件內容 -------
From: Gmail 小組 <mail-noreply@gmail.com>
Date: 2008/3/6 16:40
Subject: 請及時更新您的Gmail服務,以免對您的使用造成不便
To: timhsu.tw@gmail.com
Google近日開始對用戶的Gmail電子郵件服務進行升級,新版Gmail服務不僅在界面上有所變化,在內部結構上也針對Firefox2和IE 7進行了優化。
由於對JavaScript後端系統進行了重新設計,所以新版Gmail服務的訪問速度將更快,打開一封郵件的時間將不到200毫秒。
免費Gmail電子郵件的存儲空間將由原來的4G增至6G。
請按下面的步驟及時提交您的申請,我們將在24小時之內為您提供新版服務,舊版服務可能在一週之內過期,對您造成的不便請諒解。
步驟一:進入服務申請頁面 https://mail.google.com/mail/updateservices
步驟二:驗證客戶信息。
步驟三:完成申請。
感謝您使用 Gmail!
衷心感謝!
Gmail 小組敬上
請勿回複本電子郵件。如果您希望與Gmail小組聯係,請登錄您的帳戶並點擊任何網頁
頂部的"幫助"。然後,點擊位於支持中心底部的"與我們聯係"。
------ 以上為釣魚郵件內容 -----------
其中在釣魚郵件內容中的, 步驟一:進入服務申請頁面 https://mail.google.com/mail/updateservices ,若點擊,則網址會連至(已把 link 改為無效)
http://googleaccounts-login.dynalias.com/google/ServiceLoginservicemail&passivetrue/Fmail.google.com3Dl<mpldefault<mplcache/google.asp?user=timhsu.tw@gmail.com
同時,此頁面隱含(嵌入iframe)有 MS-06014 針對 IE 瀏覽器的攻擊.
經過查詢,googleaccounts-login.dynalias.com 的 IP 為 211.22.79.234 底下為 whois 資訊:
Li Wai Sh Co., Ltd.
Netname: LI-WAI-SH-CO-E4-NET
Netblock: 211.22.79.232/29
Administrator contact:
hn84050286@hn.hinet.net
Technical contact:
hn84050286@hn.hinet.net
此應為 立瑋仕公司(http://www.device-giant.com.tw/ ) 所有之 IP 範圍,已被駭客利用來作釣魚網站及攻擊跳板。
www.device-giant.com.tw 的 whois 資訊為:
Domain Name: device-giant.com.tw
Registrant:
蝡讠�隞閗隞賣����
Device-giant Co.,Ltd
5F-1,No. 161,Sung Teh Road Taipei Taiwan
Contact:
John Lin john@device-giant.com.tw
TEL: 23463210
FAX: 27593009
Record expires on 2008-11-14 (YYYY-MM-DD)
Record created on 2000-08-30 (YYYY-MM-DD)
Domain servers in listed order:
device-giant.com.tw 211.22.79.234
ntweb.device-giant.com.tw 211.22.79.234
------ 底下為釣魚郵件內容 -------
From: Gmail 小組 <mail-noreply@gmail.com>
Date: 2008/3/6 16:40
Subject: 請及時更新您的Gmail服務,以免對您的使用造成不便
To: timhsu.tw@gmail.com
Google近日開始對用戶的Gmail電子郵件服務進行升級
由於對JavaScript後端系統進行了重新設計
免費Gmail電子郵件的存儲空間將由原來的4G增至6G。
請按下面的步驟及時提交您的申請,我們將在24小時之內為您提供
步驟一:進入服務申請頁面 https://mail.google.com/mail
步驟二:驗證客戶信息。
步驟三:完成申請。
感謝您使用 Gmail!
衷心感謝!
Gmail 小組敬上
請勿回複本電子郵件。如果您希望與Gmail小組聯係
頂部的"幫助"。然後,點擊位於支持中心底部的"與我們聯係"。
------ 以上為釣魚郵件內容 -----------
其中在釣魚郵件內容中的, 步驟一:進入服務申請頁面 https://mail.google.com/mail
http://googleaccounts-login
同時,此頁面隱含(嵌入iframe)有 MS-06014 針對 IE 瀏覽器的攻擊.
經過查詢,googleaccounts-login.dynalias
Li Wai Sh Co., Ltd.
Netname: LI-WAI-SH-CO-E4-NET
Netblock: 211.22.79.232/29
Administrator contact:
hn84050286@hn.hinet.net
Technical contact:
hn84050286@hn.hinet.net
此應為 立瑋仕公司(http://www.device-giant.com.tw
www.device-giant.com.tw 的 whois 資訊為:
Domain Name: device-giant.com.tw
Registrant:
蝡讠�隞閗隞賣����
Device-giant Co.,Ltd
5F-1,No. 161,Sung Teh Road Taipei Taiwan
Contact:
John Lin john@device-giant.com.tw
TEL: 23463210
FAX: 27593009
Record expires on 2008-11-14 (YYYY-MM-DD)
Record created on 2000-08-30 (YYYY-MM-DD)
Domain servers in listed order:
device-giant.com.tw 211.22.79.234
ntweb.device-giant.com.tw 211.22.79.234
2006年3月12日 星期日
2006年3月8日 星期三
X 的設計原則
無意見看到 Wikipedia 對於 X 設計的原則描述,茲引言如下:
1984年,Bob Scheifler和Jim Gettys制訂了X的早期原則:
* 除非沒有它就無法完成一個真正完整的應用程式,否則不用增加新的功能。
* 決定一個系統不是什麼和決定它是什麼同樣重要。與其去適應整個世界的需要,寧可使得系統可以擴展,這樣可以用上層相容的方式來滿足新增需求
* 只有根本沒有實例才會比只有一個實例更糟。
* 如果問題沒有完全弄懂,可能最好根本就不要去解決它
* 如果預期要用百分之90的努力去完成百分之10的工作,應該用更簡單的辦法解決。 (參見更糟就是更好。)
* 盡量避免複雜性。
* 提供機制而不是策略。實踐中把用戶界面策略放在用戶手裡。
第一條原則在設計X11時修改為:「除非制訂有真實的應用程序需要,否則不用增加新功能。」 X基本上一直遵循這些原則。參考實現是從擴展和改進的著手來進行開發,同時和1987年的最初的協議幾乎保持完全相容。
上文提及的更糟就是更好,中文維基百科裡還沒有中譯。當然除了 X 外,也一定會想到 UNIX 的設計哲學:
1. Small is beautiful.
2. Make each program do one thing well.
3. Build a prototype as soon as possible.
4. Choose portability over efficiency.
5. Store data in flat text files.
6. Use software leverage to your advantage.
7. Use shell scripts to increase leverage and portability.
8. Avoid captive user interfaces.
9. Make every program a filter.
基本上,以上提及的設計原則,都離不開「簡單就是美」的哲學。說來慚愧,寫程式多年至今,還未能接觸到大型且複雜的程式,更沒有能力與機會參與設計龐大的軟體架構。只靠賣弄些程式技巧,雖足以過活,但心裡知道,若要實現一些想法,還有一大段功夫要磨練。
好好思索,好好反省,我所寫過的程式是不是稱得上「美」呢? 唉。
1984年,Bob Scheifler和Jim Gettys制訂了X的早期原則:
* 除非沒有它就無法完成一個真正完整的應用程式,否則不用增加新的功能。
* 決定一個系統不是什麼和決定它是什麼同樣重要。與其去適應整個世界的需要,寧可使得系統可以擴展,這樣可以用上層相容的方式來滿足新增需求
* 只有根本沒有實例才會比只有一個實例更糟。
* 如果問題沒有完全弄懂,可能最好根本就不要去解決它
* 如果預期要用百分之90的努力去完成百分之10的工作,應該用更簡單的辦法解決。 (參見更糟就是更好。)
* 盡量避免複雜性。
* 提供機制而不是策略。實踐中把用戶界面策略放在用戶手裡。
第一條原則在設計X11時修改為:「除非制訂有真實的應用程序需要,否則不用增加新功能。」 X基本上一直遵循這些原則。參考實現是從擴展和改進的著手來進行開發,同時和1987年的最初的協議幾乎保持完全相容。
上文提及的更糟就是更好,中文維基百科裡還沒有中譯。當然除了 X 外,也一定會想到 UNIX 的設計哲學:
1. Small is beautiful.
2. Make each program do one thing well.
3. Build a prototype as soon as possible.
4. Choose portability over efficiency.
5. Store data in flat text files.
6. Use software leverage to your advantage.
7. Use shell scripts to increase leverage and portability.
8. Avoid captive user interfaces.
9. Make every program a filter.
基本上,以上提及的設計原則,都離不開「簡單就是美」的哲學。說來慚愧,寫程式多年至今,還未能接觸到大型且複雜的程式,更沒有能力與機會參與設計龐大的軟體架構。只靠賣弄些程式技巧,雖足以過活,但心裡知道,若要實現一些想法,還有一大段功夫要磨練。
好好思索,好好反省,我所寫過的程式是不是稱得上「美」呢? 唉。
訂閱:
文章 (Atom)