Come da titolo, ho bisogno di confrontarmi con altri utenti che si trovano con un OS x64 e abbiano EMET installato per poter verificare alcune cose che non riesco a capire da solo.
La mia perplessità è legata all'ALSR,
"sistema di mitigazione" preposto a randomizzare gli indirizzi di memoria in cui vengono caricate le DLL per far si che la DLL oggetto dell'attacco "non si trovi più mappata nella locazione nella quale l'expolit pensava di trovarla" *...
Prendiamo dunque VideoLan (VLC.exe):
EMET è regolarmente in uso (
vedi la 1° voce in alto sotto "name")...ma TUTTE le librerie di VLC (
es: libaccess_bd_plugin.dll, [...], libvlc.dll, libvlccore.dll, [..])
NON risultano essere mappate
ad indirizzi randomizzati! (
infatti, per ogni DLL, base address = image base address)
Come riferimento alla mia richiesta, potete dare un'occhiata anche qui:
http://blogs.technet.com/b/srd/archi...y-exploit.aspx
Grazie a chi ha la bontà di rispondermi...
PS:
per riprodurre l'ambiente di test, è necessario:
7 @ 64 bit
UAC attivo & al massimo del settaggio (a regola, cmq, ininfluente ai fini di questa verifica)...
Utilizzare un account limitato (SUA) e, da questo, procedere alla verifica con Process Explorer...
* libera rielaborazione di quello che dovrebbe essere il concetto di ASLR...