判斷Web Security 入侵個跡象 這篇文章主要說明網站受到入侵的幾個重要的跡象, 一般的防火牆或是 IDS也是根據這樣的跡象來偵測並且採取並要的行動。 主要參考 OWASP 組織中,Appensor 這個專案所定義的相關建議。 通常一個入侵可能是多種跡象的結合,為減少誤判機率,會在加上時間軸內發生的次數與異常頻率。 這些設定的組合就會形成一個入侵偵測與防火牆的 rule。 Request Exception 這類指的主要是client端送到 Web Server時,Http Request的異常行為,舉幾個例子 網站只有支援…
Reverse Engineering
黑箱測試的專業
黑箱測試的專業 這篇文章主要說明黑箱測試專業的提升有哪些技巧與工具。 筆者認為病毒分析的專業其實是黑箱測試的專業極致, 因為為了要判斷病毒的行為,許多情況是進行很多的黑箱測試並且做各種分析 這樣的分析方法其實可以應用在許多一般應用程式的黑箱測試。 運用相關黑箱測試的技巧與工具,將黑箱測試的專業進一步的提升。 黑箱測試一個檔案的行為可以分為下列幾類: 檔案基本屬性分析 Windows PE (DLL, EXE, SYS)檔案,都會有固定 PE File的檔案結構, 因此,觀察該檔案結構可以在尚未執行檔案前,可以知道該檔案的一些特徵。例如:該檔案是否有被 Packed過。 PEview version 0.9.9…
如何分析未知檔案的執行行為?
如何分析未知檔案的執行行為? 這篇文章主要介紹兩個很便利的線上分析網站, 該網站可以分析一個檔案行為 靜態行為,例如,檔案 hash,建立時間、檔案型態、PE特徵 動態執行後相關網路、檔案存取, Registry, 載入DLL等行為 。 使用的方式很簡單, 只要將該執行檔EXE、DLL上傳至該網站,該網站就會輸出一個分析的結果。 檔案執行行為的分析不僅運用在病毒分析, 當我們想要知道一個檔案一些基本特徵 或是在執行時候的一些行為,都可以利用這個方式來進行。 這兩個網站服務都是免費! 完整的功能而且沒有其他廣告或是使用限制。 Anubis 首先要介紹的是 Anubis,這是一個免費的 opensource,…