九乡新闻网锦程物流:网游木马
来源:百度文库 编辑:九乡新闻网 时间:2024/05/02 07:31:59
绿色兵团's Archiver
(迎新春)网游木马防御技术漫谈 张翼
网游木马常用攻击技术作者:张 翼
MSN: xyzreg@hotmail.com
A、网游木马常用攻击技术
1、键盘记录(多种方法:消息钩子、GetKeyState/GetAsyncKeyState /DirtecX接口 / 键盘过滤驱动 /raw input/其他Inline hook等)
2、内存读取
3、星号密码获取/GetWindowsText
4、缓存密码
5、浏览器插件
6、小区域精确截图/图像识别/挂钩TextOut...
7、封包截取/协议分析/嗅探/结合ARP欺骗
8、其他技术(比如对付xx密保的C/S型木马等)
B、防御木马策略分析
策略层次
基于主机
基于网络
传统信息安全解决方案
开发人员
游戏开发者
第三方网游防御软件开发者
主机策略(I)
星号缓存密码加密,并防读取
防范按键记录
防范内存读取
虚拟键盘/随机乱序排列/虚拟键盘出现时禁止截屏
对于局域网用户防范ARP欺骗
主机策略(II)
主动防御/行为监控
挂钩相关函数,如NtOpenProcess/NtReadVirtualMemory、NtUserSetWindowsHookEx/CreateDC等
文件过滤驱动/Ring3下全局hook/挂钩SSDT
IP/MAC绑定(windows 2000无效)、NDIS hook/ NDIS IMD,对ARP包进行分析过滤
PS:注意hook判断函数中的处理,防止溢出
主机策略(III)
防止游戏程序目录写入文件(防止利用目录优先级加载木马实现自启动以及加载到游戏主进程已实现密码截取等功能)
保护自身程序不被修改
主进程检查自身模块中除了自身dll模块以及已签名文件有没其他dll模块,有则强行卸载
主机防御策略 (IV)
为了对应新的木马技术以及影响较大的木马,更新机制也比较重要。针对本身游戏的小型木马特征库。
QQ医生等
延伸
nProtect分析
启发式
Sandbox
防止广义Hook:内存/协议...
密码输入部分采用虚拟机技术,与Host OS隔离防止密码截取,然后将输入信息传入(RSA/ECC处理,密钥性)
主机防御策略弱点
基于主机的安全软件类保护难以做到100%安全,(黑客)总有对应的突破方法。
解决方案
纵深立体防御:HIPS+Firewall(访问网络控制)+小型AV
成本较高,做游戏并非做安全软件、需要用户有一定基础
传统信息安全解决方案的角度
传统信息安全解决方案
绑定手机
密码通知、丢失密码后可通过修改、虚拟物品操作T+1生效机制
动态口令卡(算法健壮性、验证服务器安全)
移动证书/UsbKey
盛大密保、以及安全漏洞以及改进措施队长真是牛啊
网马的帖子就想感叹下,怕说灌水。。。
用个HIPS适当监控软件行为页: [1] 查看完整版本: (迎新春)网游木马防御技术漫谈 张翼