浏览器防护下的ActiveX问题

最新推荐文章于 2022-10-30 09:41:33 发布
最新推荐文章于 2022-10-30 09:41:33 发布
阅读量1.3k 收藏 1
点赞数
分类专栏: Windows ActiveX 文章标签: 浏览器 hook 脚本 金山 api 360
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wwwDotFa/article/details/6002676
版权

浏览器防护多使用ring3 API HOOK。下面结合网页防护类的主流产品分析其潜在的兼容性问题。

使用ring3 api hook实现的浏览器保护,不可避免的要遇到和文件监控一样的问题。在实际对抗中,网马不断发展升级,已经开始将浏览器中的ring3 hook摘除,为了对抗此类威胁,主流软件多会采取不断检测自己的hook是否存在,发现不存在则重新将函数挂钩。造成多款软件争抢一个API的现象,导致浏览器无响应或者响应缓慢。特别是与CreateProcesss相关的。

    在浏览器防护软件进行行为分析的时候,由于其他浏览器防护软件的参与会对浏览器的行为造成一定影响,这些影响可能是对堆栈的影响(由于多了一层Hook,实际调用的堆栈可能会增加一层)。以某浏览器防护软件为例,其堆栈检测只会向上追溯5层,如果同时共存3个软件,那么其想要检测的那层调用,则会由原来的第5层变为第7层,原来的检测方式就失效了。

    例如:360和金山网盾共存时,网马在创建进程时360进行检测。如果放行则会通过360的函数调用系统API,进而再次调用金山的进程创建检测,此时金山追溯堆栈会发现是360的模块调用,而不是js脚本解释引擎调用,予以放行。

    即使不考虑对堆栈的影响,由于不同浏览器防火软件都进行了拦截,对浏览器的行为也就产生了影响,造成相互的行为分析干扰,无法正确分析恶意行为,进而出现漏报或者误报的现象。

    例如:金山网盾在脚本解释层根据特征检出了恶意脚本,构筑在其上层的其他防护的行为分析就无法发现该恶意脚本的行为。

    再例如:360网盾会不断检测监控点是否存在,而检测的机制是基于二进制比较的,如果发现其他软件进行了HOOK,则用自己的进行替换,导致其他软件失效。

wwwDotFa
关注
专栏目录
浏览器安全详解
悦分享
07-03 120
作为用户与网络交互的最主要的一种平台,浏览器也日渐成为了网络攻击的目标,猖獗的地下0day交易,以及简单、流程化的木马生成与发布程序都让浏览器安全问题影响变得广泛。以浏览器最出名的漏洞之一MS06-014为例。这个漏洞曾被广泛利用于网马中,它的利用代码简单,执行时几乎毫无声息。2006年,某安全软件就拦截到总计300余万次来自它的攻击。更糟的是,当年许多用户没有安装补丁,所以MS06-014利用起来成功率相当高。在随后足足5年时间内,几乎所有的挂马工具包中都给MS06-014留有位置。
APT高级攻击与防护详解
最新发布
weixin_44983560的博客
11-20 231
APT是指攻击者采取现有检测体系难以检测的技术(未知漏洞利用、已知漏洞变形、特种木马等),组合各种包括社会工程学、钓鱼、供应链植入等在内的多重手段,有针对性地对目标发起的攻击。
解决插件在IE增强保护模式无法运行问题
热门推荐
vaintwyt
12-20 2万+
这篇博客本来去年底就应该写的了,但是yi
使用ActiveX控件开发网页常见的问题
蝈蝈俊.net
12-07 8328
 1. 什么是ActiveX 控件?Microsoft® ActiveX™ 控件是由软件提供商开发的可重用的软件组件。使用 ActiveX控件,可以很快地在网址、台式应用程序、以及开发工具中加入特殊的功能。例如,StockTicker控件可以用来在网页上即时地加入活动信息,动画控件可用来向网页中加入动画特性。现在,已有1000多个商用的ActiveX控件,开发控件可以使用各种编程语言,
浏览器安全问题分析
weixin_33682790的博客
11-20 578
事端–安全漏洞穿透用户桌面 2009年2月,微软发布了广受关注的MS09-002安全漏洞公告,并随之马上提供了针对该漏洞的更新补丁。当访问者使用IE 7浏览器访问特定规格的网页时,MS09-002漏洞会允许远程恶意代码执行,从而破坏访问者的计算机系统。这一问题的典型性在于,面向浏览器的恶意攻击已经成为过去一年当中增长最为迅猛的一类桌面安全威胁。同...
浏览器漏洞种类复杂多样
securitypaper的博客
10-27 349
攻击事件中使用的漏洞和具体的操作系统环境相关,如物理隔离 环境下的内网中,就可能存在没有及时更新补丁或版本的核心系统、数据库、系统和软件,攻击者一旦 进入内网就可以利用这些成熟的漏洞利用代码发起有效的攻击。从日志中可以看到,攻击事件的发生不仅会用到近几年的漏洞,像 EternalBlue、Tomcat 远程代码 执行这样好用的 Nday 漏洞也是黑客手中的利器,一些历史悠久的 SQL注入、拒绝服务类型的漏洞,由 于攻击门槛低,效果显著,攻击者依然在大量使用使用到的漏洞按年份分布情况如图 2.3 所示。
浏览器
weixin_30781433的博客
08-07 210
常见web漏洞 XSS(跨站脚本攻击) 跨站脚本攻击发生在客户端,可被用于进行窃取隐私、钓鱼欺骗、窃取密码、传播恶意代码等攻击。 xss攻击使用的技术主要为HTML和Javascript,也包括VBscript和ActionScript等。xss攻击虽对web服务器无直接危害,但是可以借助网站进行传播。 种类 非持久型跨站:即反射型跨站脚本漏洞,是目前最普遍的跨站类...
开发ActiveX控件调用另一个ActiveX系列0——身份证识别仪驱动的问题
weixin_30394669的博客
12-02 272
程序员要从0下表开始,这篇是介绍这个系列的背景的,没有兴趣的人可以直接跳过。 为什么要开发ActiveX控件 由于工作需要,我们开发了一个网站,使用了一款身份证识别仪的网页ActiveX(OCX)插件。但是我发现现在市面上各种识别仪的ActiveX插件都有一个共同的问题,都是可以被仿冒伪造,好多厂家为了适应性,采用了同一个ClassID,实现同样的接口来读取信息。 我们的网站...
常见web安全及防护原理
AriesTina的博客
10-30 1718
常见web安全及防护原理,含攻击实战和解决方案实战
Win7系统中Web浏览器阻止activex控件的解决方法.docx
09-27
重启浏览器后,ActiveX控件应该已经被允许运行,您现在应该能够正常访问之前出现问题的网页和内容了。 需要注意的是,将浏览器的安全级别设置为“高”可能会导致所有ActiveX控件被自动禁用,即使你尝试启用它们。...
新型浏览器 爱易浏览器 v1.02
11-10
同时,基于IE内核的爱易浏览器也继承了对ActiveX控件的支持,对于一些依赖于IE内核的老旧网站或应用,爱易浏览器能提供良好的支持。 其次,多窗口打开页面是爱易浏览器的一大特色。用户可以在同一浏览器界面下打开...
浏览器下载 荣爱堂公益浏览器 v1.0
11-09
1. **基于IE内核**:荣爱堂公益浏览器采用的是微软Internet Explorer的内核,这使得它能够兼容大多数基于IE技术构建的网页,同时也继承了IE在处理ActiveX控件和某些特定网页格式上的优势。 2. **多页面浏览**:...
360极速浏览器.rar
02-08
在用户体验方面,360极速浏览器同样下足了功夫。其简洁的界面设计,符合大部分用户的审美需求,同时也提供了丰富的个性化设置选项,让用户可以根据自己的习惯调整浏览器的外观和功能。另外,它还支持多标签浏览,...
IE6.0浏览器
01-06
由于上述问题,开发社区开始推动用户升级到更安全、更现代的浏览器,例如IE7、IE8、Chrome、Firefox等。微软在后续版本中逐步改进了安全性和兼容性,最终在2014年4月8日结束了对Windows XP和IE6的技术支持,这意味着...
关于长文件名/短文件名
wwwDotFa的专栏
12-06 5946
短文件名是dos+fat12/fat16时代的产物,命名规则为8.3 8是指文件名或目录名的主体部分小于等于8个字节 3是指文件名或目录名的主体部分小于等于3个字节 另外其中不能包括空格等非法字符 win95+fat32已经支持长文件名,但是同时还是强制使用为长文件名提供8.3短文件名 nt32+ntfs变为可选 ntfs支持unicode文件名,最长255个utf16
cab包的codebase与version
wwwDotFa的专栏
05-14 4170
一、codebase="/SomeCab.cab"  本地有,就不下载 二、codebase="/SomeCab.cab#version=2,0,0,1" 大于本地版本才下载 三、codebase="/SomeCab.cab#version=2,0,0,1" 1、 本地 1,0,0,1 .inf 1,0,0,1 实际1,0,0,1 下载,但安装不会成功 2、 本地
COM注册什么时候需要注册APPID
wwwDotFa的专栏
11-18 4084
<br />COM 7.0以后有这样一个宏DECLARE_REGISTRY_APPID_RESOURCEID<br /> <br />在VS03以后的版本中,ATL工程中会自动添加这样的代码<br />class CXXModule : public CAtlDllModuleT< CXXModule ><br />{<br />public :<br /> DECLARE_LIBID(LIBID_xinstallerLib)<br /> DECLARE_REGISTRY_APPID_RESOURCEID(
关于_ReturnAddress的error C2733
wwwDotFa的专栏
05-14 3748
_ReturnAddress这样用:   #include #pragma intrinsic(_ReturnAddress)   HMODULE hm = NULL; void *callerAddress = _ReturnAddress();  ::GetModuleHandleEx(GET_MODULE_HANDLE_EX_FLAG_FROM_ADDRESS, (LPCWS
浏览器安全:威胁、防护与策略
浏览器安全》一文深入探讨了在互联网快速发展的背景下,浏览器作为主要的互联网入口,其安全问题的重要性日益凸显。随着浏览器市场竞争的加剧,提供安全防护成为厂商竞争的关键因素。文章首先介绍了浏览器的基本...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值