未分类

17 articles

动态二进制修改(Dynamic Binary Instrumentation)入门:Pin、DynamoRIO、Frida

原文链接:http://deniable.org/reversing/binary-instrumentation
原文日期:Jul 25, 2018
原作者: rui
因原文较长,翻译分为2部分。此文为第1部分,覆盖原文的1-5章。
  • 介绍

Instrumentation(修改)

动态程序分析

性能

  • Pin

Pin配置(Windows)

Pin与Visual Studio集成

  • DynamoRIO

DynamoRIO配置(Windows)

DynamoRIO与Visual Studio集成

  • Frida

Frid[......]

Read more

Fileless malware”无文件型恶意程序发展

作者:Lenny Zeltser

翻译:topesc alpha lab

原文地址:https://zeltser.com/fileless-malware-beyond-buzzword/

如何处理“fileless malware”(无文件型恶意程序)? 许多安全专业人士在听到这个词的时候很沮丧,很多文章和产品手册都提到了很难抵御和检测的无文件型恶意程序。 下面我来试图通过这类恶意程序样本来梳理无文件型恶意程序的演变。

疯狂的无文件型恶意程序

无文件型恶意程序的概念在行业活动,私人会议和在线讨论方面一直备受关注。 这可能是因为这一威胁凸显了旧的终端安全方法的一些缺陷,[......]

Read more

Safing multimedia with help of ASAN

 

文/ 阿尔法实验室 陈钦

当你在视频,音频,文本等的海洋或天空中遨游和飞翔的时一定不想遇见臭虫和鲨鱼。如你所愿。我们最近对解码器做了一些测试。

Openjpeg是一款jpeg解码器,ASAN是内存错误检测工具。内存错误包含缓冲区溢出,堆溢出等。

valgrind,boundschecker等也都是高效的工具。论文下载:AddressSanitizer

 

在过去的一段时间的动静态测试中(2015.12月),我们发现了openjpeg 整形溢出(已修复)

https://github.com/uclouvain/openjpeg/[......]

Read more

Glibc’s DNS getaddrinfo 函数错误(CVE-2015-7547)

文/ 阿尔法实验室 陈钦

A.概述

Glibc被广泛使用在Debian,Red Hat,CentOS以及更多其它 Linux 发行版.漏洞可导致通过恶意构造的DNS包使linux主机或客户端被远程代码执行.

发现的过程如下:Google工程师发现他们的ssh客户端每次试图连接到一个特别的主机时都会段错误,通过深入的分析和与REDHAT工程师的合作.发现了这段2008年引入的错误代码。与2015年的Glibc的GHOST漏洞所在函数gethostbyname不同,这次的问题出在getaddrinfo函数.

topsec

 

B.成因和攻击界面

网络攻击界面[......]

Read more

AlphaFuzzer内存fuzz框架即将发布

背景:

按照fuzz形式而言,传统的fuzzer工具分为二种,一种是文件格式的fuzz测试, 一种是网络协议的fuzz测试。Alphafuzzer已经同时支持了这2种形式的fuzz。但是在有些时候,传统的fuzz是应用效率并不是很高。比如:
当程序对输入次数有限制(比如输入错误3次程序就自动关闭)。我们无法对程序持续的进行fuzz测试的时候。
当程序运行需要解压,载入很多很庞大的库文件,我们无法高效的进行fuzz测试时候。
当程序(如网络协议)传输过程有数据加密,而我们并不知道加密方式。无法构造有效的数据包进行fuzz测试的时候。
当目标程序有非常多的函数,我们只关注某一个函数,而又[......]

Read more

2015年第37周安全通报

1 总体情况

1.1 本周漏洞情况

  • 本周统计CVE漏洞92个,其中高危漏洞56个,中危漏洞29个,低危漏洞7个。漏洞数与前一周环比减少了29.7%,与去年同比减少了79.4%;
  • 本周记录了微软公司最新发布的九月安全公告中的五十多个漏洞,大部分是高危漏洞,涉及到IE浏览器、Windows、Lync Server、Exchange Server、Office、dot NET Framework等多个产品,漏洞类型包括任意代码执行、拒绝服务、访问限制绕过、权限提升等高危漏洞,本周该公司产品的漏洞数量排名第一;
  • 本周还记录了思科、Adobe、EMC、ISC-BIND、FF[......]

Read more

2015年第29周安全通报

1 总体情况

1.1 本周漏洞情况

  • 本周统计CVE漏洞214个,其中高危漏洞89个,中危漏洞120个,低危漏洞5个。漏洞数与前一周环比上升55.1%,与去年同期同比上升234.4%;
  • 本周主要记录了Adobe公司七月安全公告中通报的八十多个漏洞,涉及到Acrobat Reader和 Flash Player两种产品,漏洞类型包括任意命令执行、缓冲区溢出、释放后重用、安全策略绕过等;也记录了微软公司七月安全公告中通报的五十多个漏洞,涉及到IE、Windows、Sharepoint、SQL Server等多个产品、漏洞类型包括任意命令执行、信息泄露、权限提升、安全机制绕过等;还记录[......]

Read more

AlphaFuzzer(更新至1.6)

AlphaFuzzer1.6

更新记录:

2016年6月8日 1.6

2015年12月17日 1.5(支持内存fuzz)

2015年9月23日 1.4

2015年8月20日  1.3

2015年7月30日  1.2

2015年7月23日  1.1

2015年7月13日  1.0

软件简介:

AlphaFuzzer是一款多功能的漏洞挖掘工具,到现在为止,该程序以文件格式为主。
1.0版本主要包含了:一个智能文件格式的漏洞挖掘框架。一个通用文件格式的fuzz模块。此外,他还包含了一个ftp服务器程序的fuzz模块。一个程序参数的fuzz模块。一些shellcode处理的小[......]

Read more

2015年第28周安全周报

1 总体情况

1.1 本周漏洞情况

  • 本周统计CVE漏洞138个,其中高危漏洞42个,中危漏洞86个,低危漏洞10个。漏洞数与前一周环比上升56.8%,与去年同期同比上升46.8%;
  • 本周主要记录了苹果公司的数十个漏洞,涉及到IOS、OS X、Safari浏览器、QuickTime等的多款产品,类型包括任意命令执行、缓冲区溢出、特权获取等;也记录了Firefox 浏览器最新版本修复的多个高危漏洞;还记录了思科公司的多个产品的十几个漏洞、类型包括SQL 注入、任意操作系统命令执行、跨站点脚本和拒绝服务等;
  • 另外还记录了linux、Drupal、IBM、EMC、SolarWinds[......]

Read more

AlphaFuzzer即将发布

天融信阿尔法实验室即将推出一款名为AlphaFuzzer的模糊测试框架 。初期支持文件格式的漏洞挖掘,后期会支持网络协议的漏洞挖掘。 用户可以根据软件提供的各种数据类型,依靠自己的智慧对文件格式进行定义,挖掘各种文件格式的安全漏洞。此外AlphaFuzzer也提供大量文件格式的解析脚本,方便大家快速对文件格式类漏洞进行安全测试。AlphaFuzzer为纯绿色软件,拿来即可使用,再也不需要那些复杂的配置。AlphaFuzzer由天融信阿尔法实验室发布,用户完全可以放心使用,因此确保了软件的安全性。AlphaFuzzer脚本编写采用了与c语言相似的语句格式,熟练后既可以快速对文件格式进行建模。使用[......]

Read more