Nem olyan régen volt szerencsénk kliens oldali teszteket végezni egy cselesen kialakított környezetben. Bár a kódfuttatás elérése után már általában viszonylag egyszerű dolga van az embernek, ebben az esetben a többszintű védelmi megoldásoknak köszönhetően izgalmas játékokra nyílt lehetőségünk. Úgy gondoltuk, hogy a tapasztalatokból más is tanulhat, így hát írtunk egy összefoglalót az alkalmazott trükkökről.
Az doksi letölthető innen.
+++
Lazán kapcsolódó téma: Itt és itt olvasható egy-egy érdekes összefoglaló arról, hogy több népszerű biztonsági termékben nem alkalmazzák a rendelkezésre álló hardening technológiákat, ezért előfordulhat, hogy éppen a védelemért felelős szoftver könnyíti meg valamilyen szoftverhiba kihasználását.
|Z| 2011.07.04. 16:47:49
Arra azért kíváncsi vagyok, mit lehet ilyenkor a "kedvesügyfélnek" javasolni... :-)
Depth 2011.07.04. 20:50:12
kz71 2011.07.04. 23:23:34
mely vírnyák-kergetők észlelték a cuccost?
számoltátok emberórában a ráfordítást? publikus? 8-)
hogy lehet a ,,felelős'' egójának rombolása nélkül előadni-bemutatni az ilyesmit?
amúgy szép, és hajrá, minél több sikeres melót (mármint, hogy a végén javítják is...)
kz
buherator · http://buhera.blog.hu 2011.07.04. 23:57:38
A vanilla kódokat a legtöbb megfogja, ha kicsit trükközöl, már csak kevés riaszt. Az jó taktikának tűnt, hogy különböző termékeket használtak egyszerre.
Az "egó" védelme már inkább politikai, mint szakmai kérdés, de azért megjegyezném, hogy egy ilyen agytorna mindig kellemes meglepetésként ér minket!
Kösz a bíztatást :)
Depth 2011.07.05. 10:19:24
Egó rombolás nélkül? Ez nagyban emberfüggő.
Elmondtuk, hogy jó a védelem csak csiszolni kell rajta és ezért vagyunk itt,hogy segítsük a munkát. Értelmesen álltak hozzá tehát elég sok dologot meg tudtunk beszélni, mint védekezési lehetőség(az ő korlátaikat és frissítési ciklusaikat is betartva).
xShark 2011.07.05. 23:08:47
_2501 2011.07.12. 13:39:03