(黃獻德) Hsien-De Huang | E-Mail:TonTon (at) TWMAN.ORG | TonTon (痛痛)
Malware Analysis Network in Taiwan (MiT) | 惡意程式分析網在台灣 (抬丸郎)
Deep Learning (深度學習), Malware Analysis (惡意程式分析), Ontology (知識本體)
Android Reverse Engineering (Android 逆向工程), Type-2 Fuzzy Logic (第二型模糊邏輯)

ONE PIECE (海賊王)

ONE PIECE (海賊王)

2014年4月9日

Enhanced Mitigation Experience Toolkit (EMET)

嗯 ! 有鑑於其實很少認真寫些網路資安的東西 (或者說其實我自己也沒懂到那去,也不知道怎確認自己這樣的認知是對還錯) 於是很認真的硬是擠了一篇出來這樣 ... xD

EMET (The Enhanced Mitigation Experience Toolkit)

什麼是 Enhanced Mitigation Experience Toolkit? Enhanced Mitigation Experience Toolkit (EMET) 是一種公用程式,可協助預防軟體中的弱點被利用。EMET 使用安全防護技術達成此目標。這些技術就像是特殊的防護與障礙,有心人士必須通過這些防護與障礙才能利用軟體弱點。這些安全防護技術不保證弱點不被利用。然而,運用這些技術能讓漏洞更難以遭受入侵。
另一方面查到這樣的說明 ...

EMET無須重新編譯應用程式或等待開發人員釋出新版本,就能強化這些應用程式的安全性。它會為你所選定的應用程式加入一些減緩措施,包括有結構化錯誤處理複寫保護(Structured Exception Handling Overwrite Protection, SEHOP)、Dynamic Data Execution Prevention與強制進階空間配置隨機化(Mandatory Address Space Layout Randomization, ASLR)。只要到[Configure Apps]選擇想要保護的[.exe]檔即可。請注意:雖然還沒在測試過的應用程式裡遇上什麼問題,但這些安全性功能有部份可能會干擾到程式功能(想想協力廠商提供的那些會經常需要存取.exe的插入元件(plug-ins)。


這邊就可以直接下載 ....

繼續往下講之前 ... 可以參考一下這篇自己挑一個防毒軟體來玩玩 ! xD
值得注意的是裡面提到關於防毒軟體的評比 ... 個人覺得只是查查資料其實裝 MSE 就很夠了

Microsoft Security Essentials (MSE)主要的特色就是簡單、易用,而且不佔資源

整合 VirusTotal API 提供未知樣本做病毒碼檢測提高惡意程式知識庫精確度

如同那文章中所列的圖跟網址,可以看到 MSE 偵測率其實是偏低,但誤判率樣本數皆為0,這表示幾乎沒有誤判發生。
(其實偵測率是一個雙面刃,偵測率高的防毒軟體,相對的誤判率也會比較高;這其實也很合理,最瞭解 WINDOWS 的莫過於 Microsoft 了 )

如果還是沒法做決定 ? xD ~ 那參考一下這篇舊文吧

安裝的過程其實非常的簡單 ... 就是下一步 ~ xD ~ 裝好後打開的畫面就是這樣


Running Processes: 刷新正在運行的進程列表 
Configure System: 系統整合設置 
Configure Apps: 軟件整合設置

主要是可以設定你要觀察的 應用程式跟信任的網站

支援兩種安全級別: Maximum Security Setting : 最高安全級別與 Recommended Security Settings : 建議安全級別 (我直接選建議)


設定的方法也是非常簡單 ...
可預先把不同的軟體及應用程式,加到EMET,便能監控緩衝區漏洞或攻擊
也可因應需要,使用不同的安全架構,如DEP, SEHOP 等等功能


最後,我裝他來幹麼呢 ? 其實主要是用來觀察一下手邊拿到的一些據說是 0-Day 的樣本有沒有能力自主避開啦 ! xD ... 另外,本筆記文中還提到了以下幾個名詞,所以也簡單做個筆記 !

SEHOP (Structured Exception Handling Overwrite Protection防止結構異常處理覆寫):
對已使用Structured Exception Handling(SEH)之執行程序進行安全檢測,防止Structured Exception Handler覆寫攻擊。

ASLR(Address Space Load Randomization,記憶體位置編排隨機化)
透過ASLR功能,能讓系統檔案及其他應用程序,儲存在不同的記憶體。 在開動ASLR的情況下,駭客難以使用慣性手法,利用Buffer Overflow (緩衝區溢出)漏洞─在操作系統或應用程序出現問題時,猜測出下一個會讀取的內存地址,並由此進行破壞或入侵系統。

DEP (Data Execution Prevention資料防止執行):
是一種系統內置之內存保護機制。DEP可強制操作系統,把內存標示為非執行區塊(region of non-executable)。它可監視執行中的應用程序,阻止有問題的軟件,寫入非執行區塊。


無奈工作後實在太多事情要處理,壓根就沒空研究些有趣的東西,所以這些就等過陣子比較有空再持續深入研究了 !