通过EMET来禁用EMET——EMET的禁用与绕过思路讲解

原文链接:https://www.fireeye.com/blog/threat-research/2016/02/using_emet_to_disabl.html
注:本文并未由任何媒体进行翻译发布。搜索引擎中搜到的国内媒体仅为标题翻译进行推送。

微软的Enhanced Mitigation Experience Toolkit (EMET)是一项提高程序安全性的项目。它通过动态链接库(DLL)来运行在『受保护』的程序中,并且做一些修改来使得破解更加困难。

我们已经见过很多次EMET在过去的研究或者攻击中被绕过了[2, 3, 4, 5, 6, 7, 8]。通常来说,微软都是通过修改或者增加一些安全设计来搞定现有的绕过问题。 EMET的设计目的是使得破解行为的成本升高,而不是一个『傻瓜式的防破解方案』[1]。所以,只要拥有在进程空间中读写的能力,理论上我们就能搞定所有的安全设计[2]。

如果一个攻击者能够毫不费力地绕过EMET,那这就完全打破了EMET提高破解成本的最初目的。我们在新技术那段展示了一种禁用EMET的技术。微软在EMET5.5中打了个补丁来解决这个问题。

讨论完这个新技术之后,我们来说说之前提到的用来绕过或搞掉EMET的那个技术。如果你想了解关于EMET是怎么实现保护程序的,请参考附录。

Read more   2016/3/27 11:46 上午 posted in  Security Info