在360安全卫士的开发过程中,发现了一个Windows API调用链漏洞(例如通过某个API调用链绕过安全检查),请描述你如何定位该漏洞并修复的完整过程?
360安全研究员(Windows方向)难度:中等
答案
1) 【一句话结论】在360安全卫士开发中,通过动态分析API调用链,识别绕过安全检查的间接调用路径,分析调用上下文后,修改安全检查逻辑以覆盖所有可能绕过路径,成功修复API调用链漏洞。
2) 【原理/概念讲解】API调用链漏洞是指程序通过间接调用(如调用中间函数后间接调用目标API)绕过安全检查,因为安全检查通常仅验证直接调用的API是否被允许。类比:就像安检只检查直接携带的物品,而通过中间人传递物品绕过检查,需要安检也检查中间传递的环节。
3) 【对比与适用场景】
| 方法 | 定义 | 特性 | 使用场景 | 注意点 |
|---|---|---|---|---|
| 静态分析 | 分析二进制代码,无需运行程序 | 速度快,可分析所有代码路径 | 识别代码结构、API调用位置 | 难以分析运行时调用上下文,易遗漏间接调用 |
| 动态分析 | 运行程序并监控API调用 | 能捕获运行时调用链、上下文 | 定位实际绕过路径、验证修复 | 耗时,需模拟真实场景 |
4) 【示例】
伪代码示例(假设安全检查函数仅检查直接调用CreateFile):
// 原程序调用链
void SomeFunction() {
FunctionA();
}
void FunctionA() {
FunctionB();
}
void FunctionB() {
HANDLE hFile = CreateFile("c:\\test.txt", GENERIC_READ, 0, NULL, OPEN_EXISTING, 0, NULL);
// ... 使用hFile
}
// 安全检查函数
BOOL CheckSecurity(HANDLE hFile) {
// 仅检查直接调用CreateFile的情况
return FALSE; // 模拟拦截
}
通过动态分析发现FunctionB调用CreateFile时,CheckSecurity未被触发,从而定位漏洞。
5) 【面试口播版答案】
在360安全卫士的开发过程中,我们遇到了一个通过API调用链绕过安全检查的漏洞。首先,我们使用动态分析工具(如API Monitor)监控所有API调用,发现程序通过调用链(如调用FunctionA后间接调用CreateFile)绕过安全检查。分析调用上下文后,发现安全检查函数只验证直接调用的API,而中间函数的调用未被检查。于是,我们在安全检查函数中增加对调用链中所有相关API的检查,确保所有可能的绕过路径都被拦截。最终修复了漏洞,并通过动态测试验证了修复效果,确保了安全检查的完整性。
6) 【追问清单】
- 你具体用了什么工具来定位这个漏洞?
回答要点:使用API监控工具(如WinDbg的API跟踪功能或第三方工具如API Monitor),通过实时捕获调用链来识别绕过路径。 - 如何验证修复是否有效?
回答要点:通过模拟绕过路径的测试用例,运行程序并监控API调用,确认安全检查能正确拦截所有绕过方式。 - 如果调用链包含多层间接调用,如何确保所有路径都被检查?
回答要点:通过分析调用栈深度,递归检查调用链中的每个API调用,确保所有间接调用的API都被纳入安全检查范围。 - 修复后是否对程序性能有影响?
回答要点:通过优化检查逻辑(如减少不必要的检查条件),确保修复不会显著影响程序性能。 - 是否考虑了不同Windows版本的兼容性?
回答要点:测试了不同Windows版本(如Windows 7、Windows 10),验证修复逻辑在各个版本下的正确性和兼容性。
7) 【常见坑/雷区】
- 仅依赖静态分析,忽略运行时调用上下文,导致遗漏间接调用绕过路径。
- 修复时仅检查直接调用,未考虑中间函数的调用,导致漏洞未完全修复。
- 忽视调用栈的深度,复杂调用链可能绕过检查。
- 修复后未充分测试,其他绕过路径可能存在。
- 未考虑不同API版本或系统环境的影响,导致修复不兼容。