以下课题是由黑客防线提供资助的网络安全研究类课题,侧重信息安全基础理论研究,提供充足的研究经费,欢迎有相关研究经验的各界人士参与。有兴趣者请加QQ:675122680索取课题申报表并详谈。
DEP与ASLR机制研究
研究依据:
随着远程漏洞的逐渐减少以及边界防护的标准化,针对远程客户端的攻击是攻击者下一个最好的选择。如今的Windows操作系统通过使用DEP和ASLR等技术,已经逐渐消除了针对客户端漏洞的利用,但世上没有绝对的安全,Ret2libc和JIT-Spray技术的出现,打破了DEP和ASLR的防护壁垒。有鉴于此,有必要对DEP和ASLR机制进行更深入的研究,对现有的绕过技术进行更好的防护,对未知缺陷防微杜渐。
研究目标:
1.针对Windows 32/64位系统,了解DEP机制,研究其运行原理。
2.针对Windows 32/64位系统,了解ASLR机制,研究其运行原理。
3.根据以上原理的研究,确定DEP与ASLR机制的缺陷与防御措施。
4.针对现有绕过ASLR的JIT-Spray技术,研究其实现原理,提供可行的PoC。
验收指标:
1.对浏览器、Office类的公开漏洞PoC进行修改,使其稳定支持DEP、ASLR环境。
2.对CVE-2012-1875漏洞的PoC进行修改,使其支持Windows7+IE8(非JRE利用方式)。
3.对CVE-2013-0640和CVE-2013-0641漏洞的PoC进行修改,使其同时支持多种Windows环境。
UEFI引导操作系统
研究依据:
UEFI是一种详细描述全新类型接口的标准。这种接口用于操作系统自动从预启动的操作环境,加载到一种操作系统上,从而使开机程序化繁为简,节省时间。UEFI诞生的目的是为了取代老旧的BIOS,UEFI和BIOS一样都是硬件和操作系统之间的接口层,但UEFI拥有更多的功能、更快的速度、更优的图形界面,以及更佳的操作体验。这种可扩展性更加强大的底层类操作系统,必然会带来新的安全性因素。
研究目标:
1.了解UEFI系统规范及各结构的功能实现。
2.了解UEFI安全启动(固件验证过程)。
3.研究UEFI ROM文件的构成,编写UEFI系统的ROM文件,且适用于32位与64位。
4.刷写UEFI的ROM系统,确保仍可正常引导系统(UEFI将控制权交给操作系统后,刷写的文件依然可以继续工作)。
验收指标:
1.系统成功启动后,ROM文件向C盘下释放一个DLL文件,或者能够加载驱动实现DLL注入。
BIOS引导操作系统
研究目标:
1. 了解当前BIOS的技术规范。
2. 编写适用于当前主流BIOS的BIN文件,刷写BIOS,确保仍可正常引导系统。
验收指标:
1.系统成功启动后,BIN文件向C盘下释放一个DLL文件,或者能够加载驱动实现DLL注入。
2.支持Windows NT5/NT6全系统。
PCI引导操作系统(基于PCI总线控制卡的研究与实现)
研究依据:
PCI总线是一种具有多路地址和数据线的高性能的32/64位总线,在高度集成的外围控制器件、外围转接板和处理器/存储器之间作为互联机构应用。PCI局部总线支持64位数据传输、多总线主控和线性突发方式,数据传输率为132M/s,这给其发展提供了有利条件,目前已成为世界上应用最为广泛的总线扩展标准。在信息安全愈发受到重视的现代,我们有理由基于此设计一款具备安全通信功能的PCI控制卡,在远端系统出现故障后,可远程接管系统的控制权,即时进行故障清除。
研究目标:
1. 了解PCI总线规范与体系结构。
2. 基于PCI总线,编写具备远程唤醒功能的BIN文件。
3. 设计并实现基于PCI总线的控制卡,具备远程监控与控制功能。
验收指标:
1.提供可用的工程样卡与相应的文件。
2.支持Windows NT5/NT6全系统。
基于Windows8的SmartScreen筛选器研究
研究依据:
随着浏览器软件的长期发展,浏览器本身的安全已经越来越健全,我们身边更多的网络安全威胁则来自网络钓鱼、假冒知名网站或其他社交工程恶意攻击。SmartScreen技术最初出现在IE浏览器中,如今正式被加入到新一代的Windows操作系统中。据NSS Labs的评测显示,该功能是目前市场上各种浏览器安全功能中检测和屏蔽社交引擎恶意软件效果最好的。SmartScreen功能具备一个基于URL的信誉系统以及一个基于文件/应用的信誉系统。URL信誉系统可以防止用户遭受钓鱼网站以及社交引擎攻击,而文件信誉系统可以监视通过浏览器下载的文件,确保文件是安全可靠的。为了有效的抵御恶意软件和点击欺诈的攻击,有必要针对SmartScreen进行系统的研究。
研究目标:
1.研究SmartScreen筛选器的运行机制。
2.基于上述研究,确定SmartScreen可能存在的安全隐患,提供必要的防护措施。
3.确定未知软件通过或绕过SmartScreen信誉系统验证时所需的必要组件。
验收指标:
1.从邮箱成功下载一个未签名的恶意可执行程序,SmartScreen无任何提示。
2.支持Windows 32/64位全系列操作系统。
安全防护软件沙盒机制研究
研究依据:
沙盒技术是应用程序保护安全的一种组件关系设计模式,相当于在沙盒中运行软件,通过加载自身的驱动来保护底层数据,属于驱动级别的保护。目前,沙盒技术已经在信息安全的多个领域上得到了应用。在浏览器安全方面,可以使每一个标签页都成为一个小的沙盒,从而使用户在浏览网页时下载恶意程序和运行恶意代码的概率大大降低。在服务器的访问控制上,沙盒技术可以防范一些针对服务器权限的攻击。另外,在操作系统领域,为了保证系统的内核和关键组件不会被病毒、恶意程序或者程序开发过程中发生的失误或者意外所破坏,引入沙盒技术也是必要的。沙盒技术在信息安全尤其是网络安全领域的崭露头脚,给这个行业带来了一种新的思维。我们有理由相信,在信息安全领域,沙盒技术能够得到进一步的发展和完善,但同时也应该看到,沙盒技术绝不是万能的,也必然会存在固有的缺陷和问题,对其安全性进行深入研究已是当务之急。
研究目标:
1.研究沙盒机制的技术实现原理。
2.确定有效区分沙盒环境与真实环境的必要条件。
3.确定在何种条件下,沙盒环境无法模拟软件要实现的真实行为。
验收指标:
1.代码执行时,可有效区分沙盒环境与真实环境。
2.代码执行时,沙盒无法模拟代码的真实行为。
3.实现一个下载功能程序,提交至VirusTotal,在线扫描危险数为0。
Android系统安全性研究
研究依据:
Android是Google历经数年开发出来的基于Linux内核的智能手机系统,采用了软件堆层的架构,主要分为四层,从高层到底层分别是应用程序层、应用程序框架层、系统运行库层和Linux内核层。底层Linux内核只提供基本功能;其他的应用软件则由各公司自行开发,部分程序以Java编写。随着各大移动终端生产商大力开发和生产基于Android的移动智能设备,Android迅速得到业界和社会的认可,并成为整个产业的热点。作为开源系统,不管是企业还是个人都可以下载Android源码进行研究,这意味着必定会造成Android系统混乱和软件参差不齐,给用户带来诸多安全问题。
研究目标:
1.了解Android系统的安全机制。
2.了解Linux kernel与Java系统的交互。
3.研究Android系统恢复出厂机制的实现。
4.单机状态下,研究ROM改写的实现。
验收指标:
1.安装一款程序后,手机恢复出厂设置,程序依然存在并可运行。
硬件防火墙安全技术研究
研究依据:
防火墙是指设置在不同网络或网络安全域之间的一系列部件的组合。它是不同的网络或网络安全域之间信息的唯一出入口,能根据企业的安全策略来控制出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。但有了防火墙,并不意味着置于其后的企业网络就可高枕无忧,各种行之有效的穿透技术,也同样可以让防火墙形同虚设。
研究目标:
1.研究Juniper、Blue Coat等主流高端防火墙的安全技术实现原理。
2.针对Juniper、Blue Coat防火墙的特色技术展开研究。
验收指标:
1.成功检测防火墙是否对数据包头做了限制。
2.成功实现穿墙。
PoC变形机制研究
研究依据:
PoC(攻击概念证明)文件是对于威胁较大的漏洞来说的,文件内包含有触发漏洞的代码或信息,用于给漏洞产品的开发人员参考并做出相应的补丁。任何一个漏洞,只要有了PoC文件,就可以了解到漏洞的触发条件以及ShellCode的实现代码。漏洞有各种形式,相应的PoC也各不相同,那么是否能够针对各类漏洞进行总结,找到共通点,实现一款通用型自适应PoC呢?
研究目标:
1.了解各类型漏洞PoC的实现方法,研究并实现通用型自适应PoC。
2.针对本年度10大热点漏洞进行研究,实现切实可用的PoC。
验收指标:
1.在不破坏功能的前提下,可对公开漏洞的PoC进行特征变形,使其躲避主流杀毒软件。
2.针对本年度Office、浏览器类的漏洞PoC进行变形处理,使其躲避主流杀毒软件。
恶意软件通信协议的分析与研究
研究依据:
通信协议分析是恶意软件分析的一项重要内容。现有的通信协议分析主要考虑获取消息格式和协议语法,缺少数据的行为语义,导致分析者难以在网络数据和恶意软件行为之间建立起对应关系。因此,迫切需要提出一种通信协议的语法规范和字段行为语义分析方法,在通信协议与程序行为之间建立起有效的对应关系。目前的协议分析方法主要有2种,即基于网络轨迹和基于数据流的分析方法。基于网络轨迹的分析方法是以未知协议的网络数据为分析对象,通过对未知协议的网络轨迹进行分析推断出协议格式,特点是简单、容易实现,缺点在于协议语义信息的缺乏从根本上限制了解析结果的准确性;基于数据流的分析方法是通过分析网络应用程序对协议数据进行处理时的相关数据流信息来解析协议格式,是当前该方向的研究热点。与前者相比,该方法能够获得应用程序对协议数据进行处理的语义信息,而这些语义信息中通常包含了大量有关协议格式的信息,是对协议数据进行处理的主要信息来源,解析结果更为准确,具有明显的优势。
研究目标:
1.了解当前主流的协议分析方法,提出效率与准确度更高的通信协议行为语义分析方法。
2.基于上述方法的研究,选取合适的支撑平台,实现对恶意软件通信协议的记录与分析。
验收指标:
1.对提供的恶意软件通信协议成功进行有效分析。
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
