→ femc15:這話給小文聽到 不給你白眼才怪 07/13 18:17
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 36.229.31.142
※ 文章網址: https://www.ptt.cc/bbs/EZsoft/M.1451793351.A.FEA.html
推 LIAR: HOST會有個檔案有病毒,但是沒有執行 01/03 12:24
→ LIAR: 另外對於"病毒"的定義...如果有網路攻擊的能力,或是誇張點 01/03 12:25
→ LIAR: 逆向操縱virtual程式,當然會有影響 01/03 12:26
→ LIAR: 抱歉,第一項是說你把病毒檔壓縮到共用碟的情況 01/03 12:27
→ LIAR: 還有要考慮病毒能不能在這幾個OS下執行 01/03 12:27
據我所知
這隻病毒似乎只會在WINDOWS環境下執行
但究竟他有多大的本事
這點我就沒有去探討了
※ 編輯: liumang (36.229.31.142), 01/03/2016 12:38:44
→ bestpika: 你先想想看這病毒執行的時候會載入到哪裡的記憶體裡面 01/03 12:47
→ bestpika: 等你想通就知道會影響哪一台了 01/03 12:47
我認為應該是不會的
因為此時的UBUNTU就是個"獨立的電腦"
所以執行上應該也是會在這部虛擬獨立電腦中的記憶體裡
推 LIAR: WINDOWS執行的話,除非天賦異稟,不然ubuntu根本不會鳥她吧? 01/03 14:36
不太懂大大您的意思??
※ 編輯: liumang (36.229.31.142), 01/03/2016 15:25:13
→ bestpika: 既然你搞懂了那這問題就解決了啊XD 01/03 15:40
→ bestpika: 除非這病毒可以在 linux 底下跑又會繞過 vm 01/03 15:41
推 mstar: 你這樣等於有雙重防護了,應該不會有問題 01/03 18:31
推 newclicker: 理論上多數狀況下也許沒問題,但若以下狀況可能會破功 01/03 19:55
→ newclicker: 1.壓縮檔為Win系統的自解檔(.exe) 01/03 19:56
→ newclicker: 2.雖非自解檔,但虛擬端的解壓縮路徑仍在共用資料夾下 01/03 19:56
→ newclicker: 3.雖非自解檔,但虛擬端的暫存檔路徑仍在共用資料夾下 01/03 19:56
→ newclicker: 4.病毒俱備感染BIOS等韌體能力(如CIH病毒) 01/03 19:57
→ newclicker: 5.病毒俱備利用虛擬機器、VT-D等漏洞能力 01/03 19:57
→ newclicker: 6.病毒俱備利用Bridge或NAT下網路服務的感染能力 01/03 19:57
→ newclicker: (ex.SAMBA等服務) 01/03 19:57
→ newclicker: 7.病毒俱備同時感染Win、Linux等系統能力 01/03 19:58
→ newclicker: 8.病毒俱備未知的緩衝區溢位Buffer Overflow能力 01/03 19:58
→ newclicker: 若有遺漏還請大家補充 :) 01/03 19:59
推 wkwtb: 你的win10不要手殘點到執行就萬事OK 01/06 11:43
→ wkwtb: 沒這麼多廢話 01/06 11:43
→ kukuzo: 看病毒能力 01/06 12:59
推 newclicker: Win系統會對你開啟的共用資料夾下檔案做index,所以說 01/06 13:53
→ newclicker: 以為"不要手殘點到執行就萬事OK"這種想法是有風險的:) 01/06 13:55
推 chang0206: 已經進步到index就會觸發? 01/06 15:04
推 wkwtb: 跟天塌下來的機率差不多 01/06 15:19
→ wkwtb: 真的寫出來的話,也不用在那邊GGYY什麼VM了 01/06 15:20
→ wkwtb: 講這麼多,就像是人家問你這碗飯可不可以吃,你跟人家分析 01/06 15:23
→ wkwtb: 產地、種植水源、種子、雞改、日照、E...保存期限 01/06 15:24
→ wkwtb: 我知道你很厲害,不過不用每天拿出來曬太陽吧 01/06 15:25
推 newclicker: 原po的提問是包含病毒以及木馬,所以防範溢位風險的 01/06 16:44
→ newclicker: 絕對是必要的,而這漏洞的原理就是:原本只是讀取進 01/06 16:44
→ newclicker: 記憶體的內容 (例如僅僅只是index進來而不執行) 01/06 16:45
→ newclicker: 結果卻因漏洞而導致該程式碼溢位到CPU會執行的記憶體 01/06 16:45
→ newclicker: 區段,最後導致CPU執行了該段程式碼。根據原po提問是 01/06 16:45
→ newclicker: 出於要測試病毒和木馬這個目的,回答的人要是天真的 01/06 16:45
→ newclicker: 不提醒這個早被廣泛使用於蠕蟲和木馬的手法,在我看 01/06 16:45
→ newclicker: 來如果不是外行人半瓶水響叮噹,不然就是刻意在誤導 01/06 16:46
→ newclicker: 原po。緩衝區溢位攻擊是基本中的基本,根本算不上什 01/06 16:46
→ newclicker: 麼很厲害拿出來曬太陽。真的沒聽過也沒關係,歡迎大家 01/06 16:46
→ newclicker: 提出來討論切磋,但真的沒必要跑出來推些酸言酸語, 01/06 16:46
→ newclicker: 這樣只是自曝其短。 01/06 16:46
推 wkwtb: 好厲害,難怪喜歡曬太陽 01/07 07:38
→ wkwtb: 最響叮噹的就是你了 01/07 07:39
→ wkwtb: 我第一(唯一)次用「溢位」應該是十七年前了吧... 01/07 07:41
→ wkwtb: 啊~ 太陽公公不要走~ 我也要曬! 01/07 07:42
→ wkwtb: 我話還沒講完啊~~~~ 01/07 07:42
→ wkwtb: 進了某校某系統的資料庫,不小心還拿了密碼(自己開聚光燈) 01/07 07:44
→ wkwtb: 不過這漏洞是朋友跟我講的,我只是出來半瓶水響叮噹 01/07 07:45
推 newclicker: 17年前啊,真令人懷念,當時我如果不是在忙大體實驗室 01/08 01:02
→ newclicker: 的工作,不然就是泡在某校網管或電腦社團吧。(茶~ 01/08 01:02
→ newclicker: 詳細時間點不確定,不過以前的確有經手防堵資料庫SQL 01/08 01:03
→ newclicker: Injection的工作呢,原則上這未必是溢位漏洞,除非你是 01/08 01:03
→ newclicker: 利用長字串搭配隱碼攻擊,不過根本篇主題比較沒關係 01/08 01:03
→ newclicker: 就不在這裡贅述了。 01/08 01:03
→ newclicker: 倒是要提醒這位w兄,利用不是自己發現的漏洞,或拿別人 01/08 01:04
→ newclicker: 寫的現成程式來作亂這種不入流的Craker行為,你好意思 01/08 01:04
→ newclicker: 拿出來嘴我都不好意思吐槽你,看來你也老大不小,怎麼 01/08 01:04
→ newclicker: 17年後還是這種典型的Craker個性,吹噓自己17年前的 01/08 01:05
→ newclicker: Craker事蹟呢?這種糗事,高手怕人家翻出來都來不及呢 01/08 01:05
推 newclicker: 怎麼還在ptt這種熱門站洩自己的底並留下永久紀錄呢 01/08 01:13
→ newclicker: 一點小小的善意提醒 :) 01/08 01:13
推 chang0206: ㄟ,我不想介入兩位的對話,我想請問的是,windows做 01/08 10:06
→ chang0206: index 就會中標了? Really ? 01/08 10:07
推 wkwtb: 如果index程式沒寫好有漏洞的話,不過根本上就是杞人憂天 01/08 13:01
→ wkwtb: 存款還不足一百塊的人在擔心買下101大樓以後要怎麼管理 01/08 13:02
→ wkwtb: 對了,我趕講是因為事情早就曝光+解決了~ (搖擺) 01/08 13:02
→ wkwtb: 講的原因很簡單,有人整天覺得了不起,巴不得拿自己淵博的 01/08 13:04
→ wkwtb: 知識來曬太陽~ 好像全世界只有他自己知道溢位兩個字 01/08 13:05
→ wkwtb: 紀錄?早就有紀錄了,而且我根本沾不上cracker或hacker的邊 01/08 13:07
→ wkwtb: 何必這麼抬舉我,我連溢位兩個字怎麼寫都看不懂 01/08 13:08
→ wkwtb: 我看你也老大不小了,難怪這麼喜歡曬太陽 01/08 13:09
→ wkwtb: ====反正就是不要執行,剩下的都是某人自以為是的廢話 01/08 13:10
推 wkwtb: 真的遇到那些高手,也不用掙扎,就讓他進來參觀吧 01/08 13:13
推 wkwtb: 我的原則都是:不要亂動我資料就好 =.=a 01/08 13:16
推 newclicker: 不可能發生的事情去擔心它才叫做杞人憂天,但是明明 01/08 17:08
→ newclicker: 發生過,並且至今微軟未必已經完全修正掉的漏洞, 01/08 17:08
→ newclicker: 這叫做合理的預防,更何況原po發文並非一般使用者 01/08 17:08
→ newclicker: 環境,而是要測試病毒用途,wkwtb的不負責發言會有 01/08 17:09
→ newclicker: 嚴重誤導之嫌。 01/08 17:09
→ newclicker: 回答chang0206:是的,windows的index漏洞的確是存在 01/08 17:09
→ newclicker: 至於現在修好了沒,就要問微軟。由於Windows為了讓 01/08 17:10
→ newclicker: 使用者搜尋檔案更快速,因此會針對檔案搜尋做快取, 01/08 17:10
→ newclicker: 並且有一支SearchIndexer的服務是預設開啟,而只要 01/08 17:10
→ newclicker: 是人寫的程式就不可能完美,一定會有漏洞,光是這個 01/08 17:11
→ newclicker: index項目,記得就看過有資安報告揭露它一連串尚未 01/08 17:11
→ newclicker: 修復的漏洞,這裡我只列幾個確定已經被修復的部分: 01/08 17:11
→ newclicker: 可遠端執行任意程式碼(remote 01/08 17:12
→ newclicker: code execution ) 01/08 17:13
→ newclicker: 的 explorer.exe 01/08 17:14
→ newclicker: 電腦變成自己的比特幣挖礦機 01/08 17:15
→ newclicker: (bitcoins mining) 01/08 17:15
→ newclicker: 老實說看到wkwtb不懂裝懂的還好意思酸言酸語的大放 01/08 17:16
→ newclicker: 厥詞散播錯誤觀念,足見台灣資安教育的確需要你我 01/08 17:16
→ newclicker: 的努力 :) 01/08 17:16
推 REIDO: 解釋多一點是好事,只要原PO理解就是賺到了 01/08 18:01
推 Kreen: newclicker 脾氣真好。XD 01/12 18:49
推 kaoru7568: newclicker 脾氣真好+1 wwww 01/13 07:56
推 coolcliff01: newclicker 脾氣真好+1 01/13 08:55
推 sopoor: newclicker 脾氣真好+1 01/13 11:20
推 TobyH4cker: 資安教育不能等 XD 01/31 09:16