|
|||||||
|
|
|
 |
|
|
Strumenti |
12-12-2012, 11:13
|
#1 |
|
Bannato
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
|
TEST: verifichiamo il supporto alle tecnologie DEP e ASLR
Con un semplice test è possibile verificare se gli eseguibili dei nostri programmi preferiti sono stati correttamente compilati per supportare 2 tecnologie fondamentali per la sicurezza:
DEP e ASLR.  Come si vede anche dall'immagine postata, è sufficiente trascinare l'oggetto della nostra analisi (che può essere anche un'intera cartella) sopra la scritta "Drop files and folders here" e attendere il verdetto. ANALIZZATORE L'assenza del supporto a queste tecnologie è indice sicuramente di scarsa attenzione verso il problema "sicurezza" e potrebbe creare qualche problema là dove se ne forzasse l'uso istruendo in tal senso il sistema operativo (mi viene in mente EMET come strumento sfruttabile per operare la forzatura in oggetto). Non necessariamente comunque un programma "trascurato" sotto il profilo della "sicurezza" è indicatore di pericolo reale per l'utente specie se questo è scarsamente diffuso o non svolge il ruolo di interfaccia per altri servizi. Parlando però di programmi di sicurezza, se si scoprisse che proprio loro falliscono sarebbe indiscutibilmente una bella figura meschina oltre che un rischio reale per l'utente dato che questi strumenti hanno un installato di milioni di unità. Confido nei vostri report, ciao 
|
|
|
|
12-12-2012, 14:04
|
#2 |
|
Senior Member
Iscritto dal: Oct 2008
Messaggi: 6480
|
|
|
|
|
|
12-12-2012, 14:18
|
#3 |
|
Bannato
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
|
si, l'ho scritto a dimensione 4, "ANALIZZATORE"...
|
|
|
|
|
12-12-2012, 14:22
|
#4 |
|
Senior Member
Iscritto dal: Nov 2005
Città: Cervia (RA)
Messaggi: 17527
|
non c'è verso di farlo andare su 8, non riconosce l'explorer di 8 almeno a me su chrome dev
comunque si può usare processexplorer o processhacker mettendo le colonne relative
__________________
Smartphone entro i 250 € - Huawei MateBook D 14" AMD Ryzen - Huawei Mobile Services |
|
|
|
|
12-12-2012, 14:26
|
#5 |
|
Bannato
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
|
?
8 Pro + Google Chrome permette di fare regolarmente lo spostamento dei file nell'analizzatore... |
|
|
|
|
12-12-2012, 14:45
|
#6 | |
|
Senior Member
Iscritto dal: Oct 2008
Messaggi: 6480
|
Quote:
 era davanti algi occhi e non lo vedevo, |
|
|
|
|
|
12-12-2012, 14:48
|
#7 |
|
Senior Member
Iscritto dal: Nov 2005
Città: Cervia (RA)
Messaggi: 17527
|
allora la colpa sarà di chrome dev o qualche settaggio restrittivo che ho messo, ma qua non mi funziona proprio
__________________
Smartphone entro i 250 € - Huawei MateBook D 14" AMD Ryzen - Huawei Mobile Services |
|
|
|
|
12-12-2012, 21:55
|
#8 | |
|
Bannato
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
|
Quote:
Per confondere un pò le acque, vi faccio vedere una cosa. [DA PRENDERE CON LE MOLLE!!]  Allora: OS = 8 X64 Programma testato = uTorrent Come da immagine, il file risulta correttamente con le proprietà DEP + ASLR (vedi 1 che è proprio l'esito del nostro servizio on line e 2 che è la sintesi di ProcessExplorer). Analizzando cmq più a fondo il processo (3), si vede xò che in realtà l'ASLR non è attivo! Grazie cmq all'apposita forzatura per-processo di EMET, questo risulta rilocato (4). ***EDIT*** Questo punto è sicuramente sbagliato ma non lo modifico di proposito nella speranza di un intervento di eraser. A questo punto mi vengono in mente una serie di riflessioni ma temo che senza il contributo di eraser sarà alquanto difficile venirne a capo. Chi vuole cmq riflettere o osservare qualcosa, rifletta che domani si bombardano gli amici di eraser...
Ultima modifica di nV 25 : 13-12-2012 alle 20:52. |
|
|
|
|
|
13-12-2012, 10:47
|
#9 |
|
Bannato
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
|
vedo che le riflessioni si sono sprecate ..cosi' come si sono sprecati i contributi di chi, ad es, ha un qualsiasi programma di sicurezza
...Riallacciandomi cmq all'esempio portato poc'anzi, una riflessione che faccio è questa: ma se a livello di sistema l'ASLR tanto su 7 che su 8 è impostato su opt-in (vedi anche QUI!), dunque non è abilitato a meno che un processo non lo richieda espressamente (è il caso di tutti i processi di sistema), perchè allora utorrent che è compilato per supportare l'ASLR deve raffidarsi ad EMET per veder rilocata la sua immagine in memoria?  E' evidente che mi scontro con una materia che mi risulta troppo difficile.... |
|
|
|
|
13-12-2012, 11:26
|
#11 |
|
Senior Member
Iscritto dal: Mar 2007
Messaggi: 2448
|
io pure non riesco ad usare l'analizzatore.
8 pro + chrome dev
__________________
CASE: Aerocool CS-107 v2 | CPU: AMD Ryzen 7 5700x | MB: ASUS TUF Gaming B550M-Plus | GPU: SAPPHIRE Radeon RX 570 Pulse ITX 4GB | RAM: G.Skill RipjawsV DDR4 3200-C15 16GB | NMVE: Samsung 970 EVO M.2 250GB | SSD1: Crucial MX500 250GB | SSD2: Silicon Power A55 2TB | MAST.: LG GP57EB40 | FANS: 3x Thermalright TL-C12C | ALI: Be Quiet! Pure Power 11 CM500W | AUDIO: Audient iD4 MKII | 2.0 M-Audio BX8 D2 | OS1: EndeavourOS | OS2: Linux Mint 21.3 | OS3: Windows 11 Pro |
|
|
|
|
13-12-2012, 11:30
|
#12 |
|
Bannato
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
|
per una volta, ie no?
|
|
|
|
|
13-12-2012, 12:00
|
#13 |
|
Bannato
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
|
sono di fronte al portatile e non sto proprio facendo niente
 ....Fronte ASUS (portatile): analizzati n-programmi "embedded" (ASUS AI Recovery/Splendid/ Wireless Console/ATK Package/...) ---> andrebbero ammazzati  nVidia driver (in verità, un pò vecchiotti)--> anche qui, da disperazione... driver audio Realtek--> senza parole... La situazione, dunque, è disperata... Lato positivo? Chi fa exploit colpisce gira e rigira i soliti nomi altrimenti bisognerebbe emetizzare proprio tutto... 
Ultima modifica di nV 25 : 13-12-2012 alle 12:04. |
|
|
|
|
13-12-2012, 19:51
|
#14 |
|
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
EMSI = NO DEP - NO ASLR
__________________
Try again and you will be luckier.
|
|
|
|
|
13-12-2012, 20:29
|
#15 |
|
Bannato
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
|
in effetti, si fa prima a dire CHI è in regola...
Parto io: oltre ai processi MS, abbiamo DefenseWall da un bel pò, Sandboxie da qualche mese...poi? Poi fondamentalmente il vuoto... Perchè gira e rigira, qualche .dll compilata col pennato ci sarà sicuramente in tutti gli altri programmi... @ chill-out: dov'è l'errore nel mio ragionamento su utorrent? Opt-in/opt-out è interpretato bene? Dove sbaglio, insomma? ***ATTENZIONE*** il post n°9 contiene sicuramente un errore ma ho scelto di proposito di non modificarlo per dar modo ad eraser di poterlo correggere. Ultima modifica di nV 25 : 13-12-2012 alle 20:55. |
|
|
|
|
13-12-2012, 21:03
|
#16 |
|
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
Load <<< >>> Layout
__________________
Try again and you will be luckier.
|
|
|
|
|
14-12-2012, 11:29
|
#17 |
|
Bannato
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
|
?
............. è che ci capisco poco o nulla, cmq da una ricerca su google per "image base address 0x400000" sembra che quel particolare indirizzo di memoria sia uno degli indirizzi "preferiti" cui forzare un file .EXE, che "some EXE's might not have reloc tables....as EXE's aren't supposed to need them" ma, al contempo, che sia possibile compilare un file .exe "with /FIXED:NO option in visual studio, which will generate executable with relocation information". Non ci capisco nulla ma mi pongo ugualmente il problema perchè sul mio PC, ad es., sia l'eseguibile di Winamp che quello di utorrent sono sempre caricati all'indirizzo di cui sopra (0x400000) indipendentemente da reboot e compagnia... Bah, 
|
|
|
|
|
16-12-2012, 08:41
|
#18 |
|
Bannato
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
|
grazie
--------------------------------------------- Nel frattempo, confesso di essere entrato in una fase di confusione tale da farmi preferibile il silenzio piuttosto che continuare con esternazioni su questo tema. Ho superato infatti il mio limite e tutto quello che credevo consolidato è di nuovo in discussione. Voci da Perugia dicono cmq che con l'anno nuovo eraser dovrebbe ritrovare i suoi tradizionali 5 minuti per portare avanti l'opera di "volontariato" :ecco, per quanto mi riguarda è meglio rimandare tutto a quella data... Ciao |
|
|
|
|
16-12-2012, 11:23
|
#19 |
|
Bannato
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
|
sto indagando ma ci sono sviluppi...
Al massimo in giornata esterno le novità, perchè a questo punto ho elementi per dire che non fossi fesso io fermo restando tutti i miei limiti sulla materia. |
|
|
|
|
16-12-2012, 11:50
|
#20 |
|
Bannato
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
|
ok, molto semplice:
c'è voluta un pò di testardaggine e circa 10 reboot per capire il mistero ma alla fine ho risolto quello che si è rivelato essere solo un mio problema (spero). Credo, peraltro, nato tutto da EMET. In sostanza, mi sono accorto che sul mio PC non veniva riallocata nessuna dll tra un reboot e l'altro. ZERO. Ogni dll era mappata sempre al solito indirizzo (di memoria, verificato su quelle "critiche" come user32/kernel32/gdi32). Il problema, e importante, esisteva. La "lampadina": resettato EMET lato protezioni di sistema da massimo @ default. "Magia": le 3 dll vengono rimappate correttamente tra un riavvio e l'altro. Provato di nuovo a riportare le protezioni di sistema su massimo: la riallocazione degli indirizzi di memoria permane. Morale: non chiedetemi cosa fosse successo ma era come sparito il supporto ASLR dal mio PC... Per la cronaca, le protezioni di sistema continuo ad averle impostate sul loro settaggio massimo (Always on/Always on/Opt-in). Questi misteri dell'informatica, cmq, proprio non li capisco... |
|
|
|
|
|
| Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 05:11.
