こんにちは質問は、非実行可能エクスプロイトがどのように機能するかです。私が非実行可能と言うとき、単語エクスプロイト .doc などのように、ファイル拡張子 .exe を持たない人を意味します。コンパイルされていない場合、どのようにして実行可能なアクションを作成しましたか?
2 に答える
2
それはエクスプロイトごとに異なります。
.doc は実行可能な形式ではありませんが、通常、悪意のあるコンテンツが隠されている、解釈された vba コードが含まれています。ドキュメントを開くと、onOpen イベントまたはそのようなイベントが発生し、悪意のあるペイロードが実行されます。したがって、最近のほとんどのオフィス インストールではマクロがデフォルトで無効になっているため、悪用の余地がありすぎます。
.com、.vbs、.htaなど、.exe でなくてもシステム上で実行されるものもたくさんあります。
次に、通常の実行可能コンテンツを持たないが、他の方法で攻撃される可能性がある形式があります。通常、不適切に記述されたルーチンを利用してファイルをロードし、バッファ オーバーフローなどを可能にする可能性があります。
于 2010-12-20T13:38:40.907 に答える
1
もう1つの方法は、これらのファイルを処理するコードのバグを悪用することです。多くの場合、これは「バッファオーバーフロー」になります。おそらく、コードは100バイトのヘッダーを想定していますが、悪意のあるファイルには120バイトがあります。これにより、プログラムはメモリ内の他のデータを上書きし、余分なバイトで「スタック」を壊すことができれば、ファイルに埋め込まれた「ペイロード」コードにプロセッサをリダイレクトすることができます。
詳細については、google「バッファオーバーフローエクスプロイト」を参照してください。
于 2010-12-20T13:44:10.987 に答える