Reverse Engineering

判斷Web Security 入侵的跡象

判斷Web Security 入侵個跡象 這篇文章主要說明網站受到入侵的幾個重要的跡象, 一般的防火牆或是 IDS也是根據這樣的跡象來偵測並且採取並要的行動。 主要參考 OWASP 組織中,Appensor 這個專案所定義的相關建議。 通常一個入侵可能是多種跡象的結合,為減少誤判機率,會在加上時間軸內發生的次數與異常頻率。 這些設定的組合就會形成一個入侵偵測與防火牆的 rule。 Request Exception 這類指的主要是client端送到 Web Server時,Http Request的異常行為,舉幾個例子 網站只有支援…

Read More

黑箱測試的專業

黑箱測試的專業 這篇文章主要說明黑箱測試專業的提升有哪些技巧與工具。 筆者認為病毒分析的專業其實是黑箱測試的專業極致, 因為為了要判斷病毒的行為,許多情況是進行很多的黑箱測試並且做各種分析 這樣的分析方法其實可以應用在許多一般應用程式的黑箱測試。 運用相關黑箱測試的技巧與工具,將黑箱測試的專業進一步的提升。 黑箱測試一個檔案的行為可以分為下列幾類: 檔案基本屬性分析 Windows PE (DLL, EXE, SYS)檔案,都會有固定 PE File的檔案結構, 因此,觀察該檔案結構可以在尚未執行檔案前,可以知道該檔案的一些特徵。例如:該檔案是否有被 Packed過。 PEview version 0.9.9…

Read More

如何分析未知檔案的執行行為?

如何分析未知檔案的執行行為? 這篇文章主要介紹兩個很便利的線上分析網站, 該網站可以分析一個檔案行為 靜態行為,例如,檔案 hash,建立時間、檔案型態、PE特徵 動態執行後相關網路、檔案存取, Registry, 載入DLL等行為 。 使用的方式很簡單, 只要將該執行檔EXE、DLL上傳至該網站,該網站就會輸出一個分析的結果。 檔案執行行為的分析不僅運用在病毒分析, 當我們想要知道一個檔案一些基本特徵 或是在執行時候的一些行為,都可以利用這個方式來進行。 這兩個網站服務都是免費! 完整的功能而且沒有其他廣告或是使用限制。 Anubis 首先要介紹的是 Anubis,這是一個免費的 opensource,…

Read More