Метафизика wmf файлов


         

Метафизика wmf файлов

Метафизика wmf файлов
Введение
атака прошла успешно!рабочий стол после атаки
Microsoft Anti-Spyware борется против wmf-заразы
один из многих сайтов, раздающих wmf-эксплоит
прибитый beehappyy.biz

Google Desktop Search
первый wmf-червь, распространяющийся по MSN-Messenger
wmf-червь, распространяющийся через электронную почту
Врезка что такое wmf
изображение, сохраненное в метафайле
Листинг1 вывод метафайла на экран
Врезка уязвимые системы
реакция IE – wmf-файл
реакция браузера Opera
реакция Irfan Viewer'а на wmf-эксплоит, shell-код получает управление!!!

Листинг3 модифицированная программа для проигрывания метафайлов
определение дислокации
Как это работает или технические детали
принцип действия типичного wmf-эксплоитов
Листинг44 фрагмент файла wmfdata.cpp, хранящего готовый wmf-файл в виде массива
Листинг5 быстрый и грязный конвертор, преобразующий C-массив в двоичный файл
это диалоговое окно выводится shell-кодом wmf-эксплоита
структурная анатомия стандартного метафайла
Листинг6 структура заголовка метафайла
Листинг7 структура фреймовых записей

Листинг7 структура фреймовых записей - 2
Листинг7 структура фреймовых записей - 3
Листинг8 откомментированный фрагмент простейшего wmf-эксплоита
Листинг8 откомментированный фрагмент простейшего wmf-эксплоита - 2
Листинг9 ключевой фрагмент полиморфного эксплоита Metasploit Framework без боевой начинки
Врезка допустимые значения различных полей метафайла
Как защищаться
червь атакует уязвимвуюуязвимую систему
разрегистрация shimgvw.dll отсекает только часть червей
официальная заплатка от Microsoft

выдирание cab-архива из исполняемого файла автоматического инсталлятора
распаковка выдранного cab-архива rar'ом
неофициальный hotfix отсекает всех известных червей, ломящихся в META_ESCAPE
Листинг1010 ключевой фрагмент hotfix'а от Ильфака
Листинг11 функция Escape, пропатченная Ильфаком
Листинг12 дизассемблерный листинг
Листинг13 шаблоны, используемые Ильфаком для распознавания пролога Escape
Листинг13 шаблоны, используемые Ильфаком для распознавания пролога Escape - 2
Листинг13 шаблоны, используемые Ильфаком для распознавания пролога Escape - 3
Внутри GDI32.DLL

Листинг 1411 дизассемблерный фрагмент PlayEnhMetaFileRecord из GDI32.DLL W2KSP4
Заключение
Врезка интересные ссылки
Врезка интересные ссылки - 2
Содержание