开启或关闭Windows服务的DOS命令

用DOS命令启动服务程序或关闭服务程序:

1、使用 net start/stop 命令启动服务程序或关闭服务程序
net start ServiceName(服务名称)
net stop ServiceName(服务名称)

如果服务名称中带有空格,需要用双引号引起来。比如:

C:\>net start “Windows Firewall/Internet Connection Sharing (ICS)”
Windows Firewall/Internet Connection Sharing (ICS) 服务正在启动 .
Windows Firewall/Internet Connection Sharing (ICS) 服务已经启动成功。

C:\>net stop “Windows Firewall/Internet Connection Sharing (ICS)”

Windows Firewall/Internet Connection Sharing (ICS) 服务已成功停止。

2、使用 sc 命令启动服务程序或关闭服务程序
sc start ServiceName(服务名称)
sc stop ServiceName(服务名称)

比如:
C:\>sc start Apache_pn

SERVICE_NAME: Apache_pn
TYPE : 10 WIN32_OWN_PROCESS
STATE : 2 START_PENDING
(NOT_STOPPABLE,NOT_PAUSABLE,IGNORES_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x7d0
PID : 8756
FLAGS :

C:\>sc stop Apache_pn

SERVICE_NAME: Apache_pn
TYPE : 10 WIN32_OWN_PROCESS
STATE : 3 STOP_PENDING
(NOT_STOPPABLE,NOT_PAUSABLE,IGNORES_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x4
WAIT_HINT : 0x7530

附:
cmd net start 服务 提示系统错误5 拒绝访问怎么办?
两种情况:
1、没有管理员权限?
2、服务使用的端口被占用,比如web服务端口80端口,可能被迅雷、QQ旋风占用(可调整)。

XP下使用批处理关闭并禁止某个服务

C:\>sc config wuauserv start= disabled
[SC] ChangeServiceConfig SUCCESS

wuauserv为windows自动更新的服务名称。

使用 sc 安装一个服务 telnet
sc create TlntSvr binPath= “D:\WINDOWS\system32\tlntsvr.exe ” DisplayName= “Telnet ”

[SC] OpenService FAILED 1060:
没有已安装的服务存在

SC常用命令参数
sc create 创建一个服务
sc delete 删除一个服务
sc query 查询服务
sc config 配置服务
sc stop 关闭服务
sc start 开启服务
sc pause 暂停服务

SC简介

  SC是一个与NT服务控制器,服务进程进行通信的控制台程序,它可以查询和修改已安装服务的数据库。

  语法:sc [command] [service name]… ,选项为“\\ServerName”的形式。

  主要的命令包括:query,config,qc,delete,create,GetDisplayName,GetKeyName,EnumDepend等。

参考文档:
[SC] OpenService FAILED 1060:

Win2000/XP服务与后门技术

使用命令行配置启动windows服务

今日杂碎:折腾系统从windows 2003到windows xp!

从windows 2003到windows xp!
只是近来我那个号在用QQ2009后5分钟左右就自动卡住(QQ的所有操作都没有反应。。),但是在vista下就很正常,xp的还没用过。还有微软写博客的那个程序也不能在win2003下装起,说什么系统不支持!于是决定把现在用的系统从2003换成xp(用2003主要是为了熟悉2003的管理操作,免得长时间不用忘记啦)。

Ghost备份系统,安装虚拟光驱DE,加载iso文件,autorun,安装系统到C盘,!!警告说当前系统版本高于cd中系统版本,装不起xp。。

本来想找个xp的gho镜像文件恢复,然后重新虚拟加载iso文件曲线安装xp,忽然看到到使用winpe,嘿嘿。于是下拉个winpe大概100+M的大小,虚拟光驱加载,安装,一切顺利,进入winpe加载xp的iso镜像安装,终于不在警告说系统版本问题啦。

装完了,开始去装驱动和程序ing

在这个热闹5.1补充一下:昨天系统弄好啦,偶那个号还是用不起QQ2009(和2003同样问题,卡就一个字),“Windows Live Writer”装起啦,不过只能给live space发日志,bloger发不了,还是用邮件方便,于是装起个“Windows Live Mail”(腾讯的foxmail老是发不出去邮件,提升啥503错误,估计是被他们系统给过滤啦,以过滤不要紧,过滤一次几个小时都用不起,还有那个QQ web mail 发邮件多啦要用验证码,很难输入的验证码,隔一天啦还有,郁闷的不行)。

有个问题是锁定桌面后用户名会显示出来(2003好像就不会显示)!到组策略里看了,那项选择是灰色的,不能选。囧

:)用段时间再说..

眼呀! intel 82945G For windows 2003的显卡驱动

intel官方貌似不提供支持windows 2003的这个型号的驱动,在ZOL驱动下载 找到啦,说明里也仅仅说支持Win2000和XP的!!可实际上Win2003的(企业版)也是支持的 🙂

方法一:

可能先前去官方下的两个的时候运气不好下回来个不支持的,也有可能这个驱动是被别人改过的??

intel 82945G For windows 2003的显卡驱动(82945g显卡驱动windows2003兼容版)下载地址:http://driver.zol.com.cn/link/19/189061.shtml

intel 82945G For windows 2003的显卡驱动(82945g显卡驱动windows2003兼容版)驱动地址:http://driver.zol.com.cn/detail/19/189061.shtml

终于对得起眼睛啦,又换上2003啦,:)

方法二:

刚刚无意间发现一个在Windows2003上装82945G显卡驱动的记录(windows 2003 安装 intel 82945 显卡驱动),嘿嘿(官方下的那个也能有办法装上(虽然提示不支持OS类型!))

intel 82945 for windows xp 驱动 - win2k_xp14311.zip (http://downloadmirror.intel.com/14393/a08/win2k_xp14311.zip )

setup.exe 不能运行,手工安装驱动指定到 Graphics 目录即可。

遇到verifying DMI Pool Data,update success后就不动的解决办法

不行知道怎么弄的,说启动不起来啦

上面的提示信息是verifying dmi pool data …(PS:这里的具体提示也没记得太准)

重启效果一样!

看看上边的提示信息硬盘也认出来啦啊,开机时也听到“滴”的一检测内存的声音,难道是。。?再重启,del进入bios恢复默认出厂设置,ctrl alt del 重启,结果这次“前进”啦一点,到引导以后后开始闪光标啦,n久啊,死啦!

再重启,del进入bios把cpu二级缓存disabled,貌似没有动其他的啦,ctrl alt del重启,效果和前边一样,还是闪动光标,n久再次看不到希望。

关机,换块硬盘来继续,使用新硬盘引导,看到系统启动菜单啦,可以选择windows xp和dos啦,进入dos使用diskgen检测原来的硬盘(检测的柱面,这样比较快!),没有错误啊!提示重启,然后进入windows就死翘翘啦;再重启,从原硬盘引导,F8进入菜单,选择windows xp就出现闪动的光标啦,又死啦!(想到应该和先前一样啦,只不过那个跳得快我没看到菜单),重启选择dos发现address 内存错误。。?内存有问题?

记得内存坏掉的话也会半路死机,就换个正常机子上的内存来,同样效果!(被换的机子内存插好还正常启动)确认不是内存问题。把取来的硬盘放到正常机子上试盘,正常进入系统啊,还以为这个盘里系统坏掉啦呢!确认不是硬盘问题啦,郁闷啦,就剩显卡啦,检测过啦啊,按理检测到硬盘就说明显卡已经检测通过啦啊,DMI不停的在脑子里转呀转,要不把cmos电池扣掉放电恢复出厂设置,由于不知道怎么跳线,就直接把电池扣掉然后开机,当然提示Floppy出错,cpu什么不符,按f1继续,按F1,然后引导系统,哇这次看到微软徽标和滚动条拉,正兴奋呢,突然蓝屏!

关机按上电池,del设置cpu参数那个什么默认是32我调到16min啦(没记得太清啦),然后保存退出。

。。。

哇,徽标,滚动条

。。。

光标一闪而过,加载个人信息,哇,太有才啦

难道是我“那样”把cmos放掉搞好的?

跑啦两天,郑州已经变热啦!!

可能是一直在室内的干系,跑郑州感觉到热啦,跑累啦,貌似今晚又不能好好休息还!!

今天一回来就遇见病毒!跑去做系统,回来装上“windows2008企业版”结果不想去找怎么激活啦,干脆换回做前做的xp备份!白白浪费掉10¥

看到技术文章很稀奇——绿盟于旸:让阿里安娜火箭爆炸的缓冲区溢出

主题:缓冲溢出历史、八卦和娱乐

可惜没有他的幻灯片ppt,好多图片看不到啦。 还有演讲中提到两个神奇的汉字(这两个汉字对应的内码恰好是Windows当中参数的地址。),那两个汉字是什么啊?

来自绿盟的于旸,在现场发表演讲。

以下为文字实录:

于旸:我首先做个自我介绍,我叫于旸,目前主要从事信息技术安全有关的研究工作。腾讯虽然不是一家安全公司,但是腾讯科技对于信息安全问题的重视程度和在对待上的专业态度,一直以来都给我留下了很深刻的印象。举个例子,我们可能会注意到,在腾讯的网站上有一个专门的安全中心的页面,会对腾讯的软件中的一些安全问题及时在这里通知用户,并且FIX。在中国仅此一家,如果把微软中国也算上的话就是两家。

所以,我非常荣幸今天在这里和来自腾讯以及全国各地的各位安全专家们一起,就一些信息安全方面的问题进行讨论。我演讲的题目是《缓冲溢出历史、八卦和娱乐》。用缓冲区溢出这个题目对在座各位朋友并不陌生。我可能无法用短短的一个小时让大家了解很多的技术,但是我会尽量让大家听得愉快。

如果大家想进一步地了解相关的技术,可以关注一下明天禇诚云和吴石的演讲。其中一定会有更加详细和精彩的内容。

首先,我们来简单看一下什么是缓冲区溢出以及缓冲区溢出的历史,然后我会花一点时间给大家介绍在二十年当中,我们和缓冲区溢出以及它的诸多“亲戚”所做的搏斗。第二部分内容我会给大家介绍一些和缓冲区溢出相关的小例子,这些东西可能没有很多的技术含量,但是可能会比较有趣。

首先我们来看什么是缓冲区溢出,严格来说,我们去查相关的专业资料可以看到一个很精确的定义,但实际上在广义上我们把所有的内存读写类漏洞,包括很多,基本上通俗的我们都称之为缓冲区溢出。今天在我的演讲之中用的缓冲区溢出的概念是最广泛意义上的,并不是精确地去指一个具体的缓冲区溢出问题。

到底什么是缓冲区溢出呢?我们看这张图上面(图),我找了一个油漆桶的图。简单说,我们在200毫升的咖啡杯里倒了205毫升的咖啡。不管什么原因,结果都是咖啡倒多了。咖啡倒多了杯子承纳不下,它会流到别的地方。流到什么地方去呢?会流到什么东西上面去呢?根据情况不同可能导致不同的危害。简单来说,这就是缓冲区溢出。

在这里我给大家举一个简单的例子。这是一台Windows 2000,在Windows2000当中有一个程序叫MRinFo,这个程序是Windows自带的网络程序,这个程序它在处理命令行参数的时候是存在程序溢出问题的。不会导致安全风险,但是我想可以用这个程序作为一个例子,让大家大概对缓冲区溢出有一个概念。首先我们给这个程序敲入参数,这个参数并不是程序设计的时候,它是做预计的输入,预计的输入应该是IP地址或者域名,返回之后地址不能被解析。如果我们把这个参数输得相当长,大家看它很快就返回了,根本就没有出现这些(图)。为什么呢?因为在程序设计的时候,正常情况下如果一个地址不能被解析,它就会转入打印的流程。由于在这个地方我们传递的相当长的参数,导致了缓冲区溢出的发生,程序就直接崩溃,或者可能转入了其它流程,最后就没有打印出信息来。

我再给大家看另外一个例子。刚才一瞬间非常的迅速,可能没有看清楚,我们再来一遍。大家看一看,我给它传递了一个很长的参数,但是在末尾我加了两个汉字(图),在座各位有认识这俩字的吗?这不是太上老君画的符,这是两个我们在字库里可以找到的汉字。这两个汉字对应的内码恰好是Windows当中参数的地址。这两个汉字是什么?就是我刚才说的200毫升的咖啡杯我们倒了205毫升,这就是那5毫升。这5毫升咖啡流到了不该流的地方,而恰好它的内容我们又把它设定为一个特殊的值,就是我说的函数的溢值。这个程序在转入到下一流程的时候就会被两个神奇的汉字所欺骗。这就是一个最简单的缓冲区溢出的例子。

所以,我们可以用一个原本用于网络操作的程序来完成一个锁屏的工作。简单来说,我们几乎可以对任何安全漏洞下这样一个定义,什么叫安全漏洞?就是可以让程序执行没有设定的功能,你如果能实现这个,那它就是一个安全问题。我们先把这个MRinFo 程序放到一边,一会儿还会用上它。

以前大家如果对安全漏洞没有太多了解,或者大家想去了解和学习我给大家推荐一个我的朋友也是我的同事,他写的一个小小的文档。一般来说,我们除了刚才的这种非常典型的急于备战的程序溢出之外,把堆溢出以及覆盖BSS区等等问题都在广义上称之为容易溢出的问题。

导致缓冲区溢出的原因是什么呢?在历史上,当然我说的历史不是很长的时间,可能十几年前甚至于十年以内的时间。最早是由于我们使用了一些不安全函数,或者是没有正确地使用好一些函数导致的。这是导致缓冲区溢出比较简单的方式。后来又出现了类似于整数问题导致的一些缓冲区溢出,以及近两年又出现一些新的情况。我在这里就不给大家一一介绍。

我们把其中的一条我认为比较有意思的导致缓冲区溢出的方式给大家看一下,整数问题(图)。对于我们的计算机来说,它有一个非常有意思的特性,我们知道一个数是正数还是负数,为什么?因为写阿拉伯数字的时候下面可以加一个减号表示负,在脑子里面我们也可以形成这样一个逻辑概念,但计算机没有这个功能。为了表示负数在计算机当中是用了一个特殊的方式,在这里我也不进行介绍了。总的来说,大家知道在计算机处理数字的时候,两个数字相加它的值可能小于那两个数字,两个数字相乘可能得出来的值也小于那两个数字。就是加和乘不一定使结果变大。反过来减和除也不一定使结果变小。另外,内存当中的一段数字它既可以认为它是一个正数也可以认为是一个负数,这都是在程序当中所决定的,如果在这个当中没有处理好也会出现一些问题。

整数问题的确是非常让人在这个地方出问题的。但是,像这种只是表示温度上出一点小的差错可能无伤大雅,不会出现什么严重的后果。但是也有出现严重后果的时候,现在我就要开始八卦了,这是阿里安娜五星火箭,1996年5月4日,失事四颗卫星同时被毁,这是什么原因导致的呢?因为火箭的控制程序是拉非人写的,程序员把一个长整形变量写成了短整形导致了溢出。就是这么一个小小的错误,导致阿里安娜五星火箭失事的非常重要的原因。当然整体来说还有别的原因,比如本身这段代码在阿里安娜五型火箭没有用的,这其实也是整个开发管理方面的问题,因为大并不适用于五型火箭。在四型火箭里可能没有用好的性能做这样一个负值,到了五型火箭就会出问题。我们看到给火箭写程序的人也会出这样一个错误。

还有一个例子,代码本身找不出什么问题来,实际上代码也没有问题,但是这段代码如果拿 VC2003去编译的话,在一些特殊的情况下就会出问题。为什么呢?在VR2003里面对于new的处理没有考虑到整型,如果我们传递一个大的参数,比如 Lx4然后后面七个零,在这个时候,因为一个整形是多少?四、五十节,这时候会把Lx4后面七个零这个数字乘以4。在分辨内存的时候会乘4,一乘4就导致的32位整型的上溢,算出来的一个值是多少呢?是零。或者说我们用稍微再大一点的数字,实际上真正分配的内存是一个比较小的值。

顺便说一下,这个安全问题在VC2005里面已经得到了解决。接下来我们再用一点时间说一下缓冲区溢出的一段小小历史。今天当我们谈到历史两个字的时候,可能脑子里面浮现出来的是巨大的时间跨度和厚重的文化。但是对于信息技术领域,因为它本身年龄就不是很大,没有很长的历史,对于信息安全技术它就更加年轻了,在这个领域里面可能十年就是很长的时间了。那我们的缓冲区溢出到现在多长时间呢?也就二十多年时间。这个技术第一次登上历史舞台,被公众所了解、所看到是在1988年11月2日,就是非常著名的Morris蠕虫事件。Morris蠕虫是罗伯特Morris Junior编译,他为什么叫这个名字呢?因为洋人取名字跟中国人不一样,在座各位不可能跟父母用一样的名字,但是外国人觉得这个名字不错就可以给自己儿子用。所以我们用Junior来表示区别,很显然他的父亲也叫Robert Morris。

我们想象一下,1988年,我对这段情况不了解,中国可能还没有这种互联网,甚至连实验性的互联网都没有。你会发现这里面闪耀着很多的智慧,是你在今天的这些木马病毒当中看不到的。举一个例子,那时候主要是VIX,这些机器各自是不一样的,甚至硬件价格都不一样,Morris蠕虫是由原代码和脚本组成的,它感染一台机器之后会利用这台机器上的编译器去编译,所以它可以跨平台,它本身是已原代码方式存在的,它感染下一代的时候也是把原代码传过去。

Robert Morris也就因为这件事情成了世界上第一个因为计算机被正式地被计算机法所判决的一个人,他被判了400小区的社区服务和一万美元的罚款。同时 Morris蠕虫事件之所以这么有名,就是因为它直接导致了CERT这个组织的成立。就是1988年发生的蠕虫事件之后美国就赶紧成立了CERT,有了 CERT之后中国有成立了CERT。如果没有蠕虫事件可能我们在座各位很多都不会从事这个行业。Morris蠕虫事件是互联网非常重要的一个事件。老 Robert Morris实际上是我们现代unix系统的设计者,这就很难怪他儿子为什么这么厉害了。另外,老Robert Morris也是美国国家安全局的首席科学家。这就是Robert Morris(图)。

但是Morris蠕虫出现的时候,实际上公众对其一无所知,只是非常小范围的传播,即使是搞技术的人对它也不是很了解,只是知道有风险,具体怎么样都不清楚。包括Morris出现之后大家还是不清楚。这个时候另外一个人走上了历史舞台,Spaftord,这个老头对Morris蠕虫进行了分析,并且编写了INTERNET蠕虫分析。他在分析蠕虫的时候也同时把缓冲区溢出的知识带给公众,但是这一次介绍仍然可以说不是非常透彻和详细的。真正意义上的一篇专门用来论述缓冲区溢出技术的文章,实际上是1996年才发表,发表在PHRACK 49的杂志,他的本名叫ALEGH ONE,在这篇文章当中,可以说是非常详细地把缓冲区溢出这个知识介绍给公众。ALEGH ONE是谁呢?大家可能都看过邮件列表,他管理过五年,在1996-2001年之间,大部分时间都是他在管理这个邮件列表。

我们知道,今天来说缓冲区溢出威胁最多的系统可能是Windows系统。在1999年之前,可能这种情况都不是这样。当时很多人都认为缓冲区溢出这个技术在Windows系统上是难以实施的,而在unix或者是Sun是比较容易实施的。1999 年,Spyrit写了一篇非常有里程碑意义的文章,也是发表在PHRACK55期杂志上。这篇文章可以说是近十年来信息安全灾难的一个开端。当然我不能说没有这篇文章现在我们就不会有这么多木马、不会有这么多蠕虫,但至少可以说它是我们今天所有做Windows安全技术研究的最早的一篇。

从Morris蠕虫算起,我们和缓冲区溢出已经搏斗了差不多整整二十年。在这二十年当中,防守的一方几乎总是落于下风,直到这两年情况才有所改观。除了在开发过程当中实施安全编程原则和流程等之外,我们还找到了一些其它更全局、更宏观的方法,这些方法有软件的、有硬件的,因为时间有限,我今天就简单给大家介绍一些。

一个非常简单而且有效的技术,Stack Cookie,这个系统最早是在Linux系统上提出来的,并且做了实现。但是这个技术真正让广大的程序员们了解,功劳还是微软的,因为微软在 Visual Studio2003里面内置了Stack Cookie代码。这个技术说起来也非常简单,大家还记得我刚才做的例子吗?(图),在这两个神奇的汉字之前是我们输入的一段东西,如果没有这两个东西,这个缓冲区溢出毫无意义,最多只能导致程序崩溃。如果我们没有写这么长的话就不会发生缓冲区溢出。

StackCookie技术的核心在什么地方呢?就是对我们编译器所编译的每一个程序进行小小的修改,让堆栈的地方,也就是这两个汉字所占用的地方前面放上。这是被调函数的局部变量(图),我们在这里放上StackCookie,在每此将要到返回地址里去找代码执行之前,让程序先检测一下它的前面,因为在函数开始的时候我们放进去StackCookie

我们知道值是多少,当需要调用它的时候,我检测一下这个StackCookie和开始一样不一样,如果不一样的话就说明什么?已经发生了溢出,这个地方被修改了,因为我们要改这个地方就必然要改到它,因为是顺着下来的,用这个简单的方法就可以比较准确地检测到覆盖返回地址的行为。这的确是一个非常简单同时也非常有效的方法。

在VC2003的编译当中,默认开这个选项。研究相关技术的人也找到了对抗 StackCookie的方法,做编译器这方面同时大家也找到了另外一些反过来克制的方法,双方的搏斗一直到今天仍然在继续,但是最基本的包括思路上都还是基于StackCookie区域当中,具体的技术细节我今天在这里就不详细介绍。

刚才说的是软件上面,在硬件上,今天在座各位大家用的电脑,或者说你们今天去买一个新的 CPU,几乎这个CPU里面一定有这样一个技术,叫“内存不可执行”,或者叫NX技术。什么意思呢?我们知道计算机的内存在过去我们可以给它加上一个标志,它是否可读、是否可写。但是没有这样一个标志,我标志这段代码、这段数据是否可执行,它是否可作为代码来执行,没有这样一个标志。为什么呢?因为过去可能是因为CPU本身不够快,我让它在处理每一个内存的时候还要额外判断,会降低运行性能。但现在CPU已经足够强了,我可以牺牲百分之几的性能来做这件事情。所以这个技术实际上并不是这两年出现的。在很早以前,SUN就已经有了,只不过是因为我刚才说的性能问题近两年才在X86个人电脑上出现。

实际上,在X86处理器也不是这两年出现的,最早在2001年的时候InteL就已经在自己用于服务器的技术上处理这个技术。只不过还是我刚才说的由于性能问题没有在电脑上用,因为对于服务器来说安全的权重要更大一些,我可以为了安全牺牲一点性能。我们现在在一个Windows系统上,大家在系统设置界面里可以看到“数据执行保护”,英文叫DEP,它实际上就是使用了CPU的这个功能。我们传递进去的数据实际上可能是存放在一个数据区的,通过NX技术,我们可以把这种专门用来存储数据区的地方就标志为数据,不能执行,CPU就会拒绝执行这个区域的东西。简单来说,NX技术就是解决这样一个问题。

反过来,从攻击者这边来说,现在也有人研究出来了一系列的如何对抗NX技术的方法。举一个简单的例子,我的这个例子当中,如果这个CPU设置了内存不可执行的,不受影响,为什么呢?我传递的是代码。RETURN这个技术就是传递进去一系列地址,用这一系列地址来描述。当然得非常精巧地研究如何用一些特殊的地址去构成这样一个序列,让它们去实现一些功能。在Windows上实施这个技术的时候有一个便利条件,因为Windows特别是在2003及其以前的版本上有这样一个系统的这样一个技术,它可以决定是否启用。我们调用一次它,把当前进程的 DISABLE不用它,然后就可以正常地按照这个流程来了。

但是总的来说,这些技术实施之后,还是大大地增加了攻击者的成本,大大增加了攻击者的难度,安全就是这样,不可能百分之百的解决这个问题,但这是一场博弈,就像刚才李总说的,我们要尽可能地增加这些坏人的成本。

这是另外一个非常有效的技术(图)。Safe C Library。我们刚才说了缓冲区溢出是伴随着C语言的东西,如果完全用C++来写代码,基本上不会出现缓冲区溢出的问题。但是很多时候我们完全不能放弃C语言,来用C++。在这里我给大家介绍Safe C library。使用Safe C library来取代传统的这些C函数,可以非常有效地避免我刚才说的各种缓冲区溢出的问题,像大家看到的这个(见图),这是传统的写法。这是用Safe C library的写法。大家可以看出,两者之间的改动并不是很大,但是用这种方法基本上可以解决缓冲区溢出的问题。即使在这上面出现一些异常情况也不会有什么危害。而且总体来说实施起来也不是很难。

还有一个可能是更年轻一点也是更有效一些的技术,就是SAL,什么是SAL呢?它实际上是一种注释技术,我不知道我的解释准不准确,但是我看相关文档之后我觉得它就是注释技术,就是为编码添加一些注释,但是这个注释更多地是让程序去看的,是让编译器去看的,而不是让人去看的。为编码添加注释,帮助那些不易被发现的问题。

举个例子,这是一个函数定义,它接收了Buffer和BufferLength,我们如何让程序知道它是一个缓冲区和缓冲区长度呢?利用SAL我们可以把它标出来,让这两个本来没有什么关系的变量发生关系,做这样一个标记(图)。现在就把它们两个联系起来了,大家看这个难度也不是很大,我刚才说的这些都是非常有效的技术。

我刚才的科普工作就告一段落,现在还有一点儿时间,我给大家简单地就一些缓冲区溢出类的安全问题做一些小小的演示。

第一、像内存不可执行类等等的方法,可以在程序运行的时候检测出这些发生的溢出问题。接下来我给大家演示一种情况,这种情况是不会被检测出来的。当然,这种情况它可能出现的概率也非常小,但非常有意思。这是我写的一个小小的程序,它模拟了一个软件的登录界面,我们只需要输入一个任意长的数值就可以登录界面。这是为什么呢?类似的安全问题在历史上是实际出现过的。在2001年就出现过类似的问题,只需要用一个小小的溢出来标识,你不需要密码也可以以任意用户登录成功,实际上在这个例子中描述的就是那样一个情况。有一个用来表示是否登录成功的标志,虽然我们在前面把它标志为了FALSE,但是因为发生了缓冲区溢出,把局部变量覆盖了一点点,因为不管拿什么值覆盖,本来是零,你只要让它不是零,这个验证就通过了。因为这个地方覆盖的是局部变量。覆盖的是这个区域(图),不涉及执行的问题,并不需要执行什么代码,同时也不涉及覆盖返回地址的问题,可以根本用不着硼着这个地方的StackCookie。千万不要认为这种现象会消失。

我这里还有另外一个例子,在这个例子当中,它们俩的基本代码是差不多的,只不过我在这个地方用了一个安全函数,所以在这里就不会出现缓冲区溢出问题,它不会让写进去的程度超过。但是它犯了另外一个错误,Printf,在这里因为错误的使用了 Printf,导致了一个格式串的问题,我个人认为这是最有意思的,它有意思是在哪里呢?刚才我们看了可以饶过验证。

接下来我要演示的问题,我们可以看到密码,因为这个程序不再有我们刚才说的缓冲区溢出问题了,我已经限制了最多只拷贝这么长(图),所以无论如何它都不可能再发生溢出了。但是由于它存在格式串的问题,我输入的是百分号X,但打印出来的并不是百分号X。这个数字是什么呢?这是当前堆栈里面的数据,具体格式串漏洞是怎么回事以及它的原理,如果大家有兴趣的可以去找一些资料来看。我这里只是给大家简单展示一下它的现象。

我们回过头来看这个代码(图),Password是作为一个局部变量放在这里。在我们输入一个格式串的时候,会作为第一个参数处理。我们看到内存当中的这一串数字(图),我们把它复制下来。这些都是十六进制的数据,我们现在把它还原成字符,大家看到是这样几个(图),后四个字母,7465,现在我们反过来,改成6574。现在我们就得到了一个完整的密码。这个例子当中我们就是用格式串问题去窃取内存当中的数据。其实格式化漏洞在Windows系统上非常罕见,因为Windows程序员可能不太喜欢用Pranff函数。但是也有例外,如果大家用Windows2000就会发现(图)。类似这样的问题还出现过在国外非常有名的邮件系统里,当时我们发现的时候就觉得非常有意思,因为我们今天展示的是我自己写的一个小程序,我把密码放在局部变量当中,那是一个邮件系统,它的程序处理流程的时候是这样,你登录,用户名、密码输入进去,然后把密码从它的数据库里面取出来进行比较,因为设计者可能没有考虑很多的安全,这个密码是能保存在数据库里面,它能放在内存里进行比较。如果你输入的我们刚才说的格式串问题,就可以用刚才的方法直接把前面拿出来比较过的这些残存在内存中的密码看到,几乎是利用这个方法可以非常稳定、可靠地拿到任何用户的登录帐号。

这些问题虽然看上去很有意思或者觉得匪夷所思,真的会犯这种错误吗?会有。DIR真的能溢出几乎不可能造成什么安全风险。我们可以在这个地方看一下(图):“找不到文件”。在处理一些特殊情况的时候,和一些为了兼容老的系统所保留下来的代码之间,在它们之间的配合上,在处理这种特殊情况的时候没有处理好,所以会引发一个堆栈溢出。

我们来看一下情况是怎么样的(图)。现在我敲完之后大家看到cmd不见了,为什么?崩溃了。这个问题是我的一个同事在2003年初的时候发现的,因为的确这个东西虽然有趣但它不能说是一个安全漏洞。现在再用这两个神奇的汉字,现在已经不一样了,因为在内存当中会做一个转换,所以我们必须找一个被转换之后恰好是函数地址的汉字,后来发现它们正好是吻合的,它被转换之后也恰好是我们刚才说的函数。我们现在就用它来锁屏试试看。

接下来我们来看今天的最后一个演示。我们还回到刚才的MRINFOR,我们没办法把一串代码交给它。实际上现在已经有技术完全解决这个问题。大家看到的这一串奇怪的字母(图),它们就是由字母编写的代码,它们既是字母,也是代码,本身它们完全可以被CPU执行,执行的结果就是进行计算器程序。同时,我又找了一个可以表示为字母的跳转地址。这四个字母恰好在我当前的平台上是一个可用的跳转地址,所以它们俩结合在一起就是长长的字符串,同时这个字符串可以执行一个功能,就是运行计算器。

刚才是我做的一些科普和基于技术的娱乐和八卦,希望能够引起大家对于这方面相关知识的兴趣,也算是给明天吴石和禇诚云的演讲做一个引子吧,谢谢大家!

原文地址:http://tech.qq.com/a/20080318/000332.htm