capec - 191:阅读敏感常数在一个可执行文件 |
 描述
敌人从事活动发现任何敏感的常数呈现在一个可执行的编译后的代码。这些常数可能包括文字ASCII字符串文件本身,或可能硬编码字符串到特定的例程,可以揭示了代码重构方法包括静态和动态分析。
扩展描述
一个敏感的字符串的一个具体的例子是一个硬编码的密码。典型的例子使用硬编码的密码的软件包括服务器端可执行文件中可能检查硬编码的密码或关键用户与服务器的身份验证。硬编码的密码也可以出现在客户端可执行文件时使用密码或密钥连接到一个远程组件,如数据库服务器,许可服务器,或否则,这一过程在同一主机预计键或密码。在分析一个可执行的敌人可能搜索的字符串通过分析文件的字节码本身。实用程序中显示的字符串文件示例包括字符串、grep,或其他变异的这些程序取决于所使用的操作系统类型。这些程序可以用来倾倒任何ASCII或UNICODE字符串包含在一个程序。字符串也可以寻找使用十六进制编辑器加载二进制或目标代码文件和利用本地搜索正则表达式等功能。
另外,敏感的数值可以发生在一个可执行文件。这可以用来发现密码的位置常数。
典型的严重性
先决条件
| 访问一个二进制或可执行文件,这样它可以通过各种分析工具。 |
所需资源
| 二进制分析项目如“字符串”或“grep”,或十六进制编辑器。 |
笔记
其他
更复杂的方法,寻找敏感的弦在文件涉及拆卸或反编译的文件。例如,人们可以利用拆卸方法一个ISAPI可执行文件或dll内发现一个硬编码的密码时执行的代码。这种类型的分析通常包括四个阶段,第一个调试器附加到正在运行的进程,anti-debugging对策规避或绕过程序一步一步的分析,建立了断点,这样离散函数和数据结构进行分析。
调试工具,如SoftICE、Ollydbg或供应商提供的调试工具经常使用。拆卸工具,如IDA pro,或类似的工具,也可以使用。第三个策略在一个二进制字符串包含用于访问敏感文件本身的反编译源代码,揭示了字符串。这种类型的一个例子分析包括提取源代码从java JAR文件,然后使用搜索功能在一个java IDE的源代码敏感,硬编码的信息。在执行这个分析本地java工具,如“罐子”是用于提取编译后的类文件。接下来,一个java反编译器,如“DJ”是用于提取java源代码的编译类,揭示源代码。最后,源代码审计披露敏感信息,此举通常由源代码分析辅助程序。
分类法映射
 CAPEC映射ATT&CK技术利用一个继承模型简化和减少直接CAPEC / ATT&CK映射。继承的映射表示文本说明父CAPEC有相关ATT&CK映射。注意,ATT&CK企业框架不使用一个继承模型的一部分映射到CAPEC。
相关ATT&CK分类法映射
引用
 内容的历史
| 提交 |
| 提交日期 |
提交者 |
组织 |
| 2014-06-23
(版本2.6) |
CAPEC内容团队 |
manbetx客户端首页 |
|
| 修改 |
| 修改日期 |
修饰符 |
组织 |
| 2015-11-09
(版本2.7) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新描述总结,Other_Notes、引用Related_Attack_Patterns Resources_Required |
| 2017-08-04
(版本2.11) |
CAPEC内容团队 |
manbetx客户端首页 |
| Attack_Prerequisites更新,描述总结,Resources_Required |
| 2019-04-04
(版本3.1) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新Related_Weaknesses |
| 2020-07-30
(版本3.3) |
CAPEC内容团队 |
manbetx客户端首页 |
| @ name更新,描述、Related_Attack_Patterns Taxonomy_Mappings |
| 2022-02-22
(版本3.7) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新描述,Extended_Description |
| 以前的条目名称 |
| 改变日期 |
以前的条目名称 |
| 2020-07-30
(版本3.3) |
在一个可执行的读取敏感的弦 |
|
|
描述
此表显示了其他的攻击模式和高水平类别相关的这种攻击模式。这些关系被定义为ChildOf ParentOf,给类似的项目可能存在的洞察力在较高和较低的抽象级别。此外,关系如光束,PeerOf, CanAlsoBe定义显示类似的攻击模式,用户可能想要探索。
内容的历史
