本文目录一览:
- 1、警惕eval()的安全漏洞
- 2、别克昂科威刷收音机模块后按键位置变化
- 3、符号表和抽象语法树是什么关系?两者在编译器设计中是否必需
- 4、超级巡警杀毒时出现的发现包裹,包裹是啥意思?需要处理吗?
- 5、实现一个根据python代码自动生成流程图难度有多大
警惕eval()的安全漏洞
eval() 函数用来执行一个字符串表达式,并返回表达式的值。
expression -- 表达式。
globals -- 变量作用域,全局命名空间,如果被提供,则必须是一个字典对象。
locals -- 变量作用域,局部命名空间,如果被提供,可以是任何映射对象。
如果传入globals参数的字典缺少__builtins__的时候,当前全局命名空间将作为globals参数输入并且在表达式计算之前被解析。locals参数默认与globals相同,如果两者都省略的话,表达式将在eval()调用的环境中执行。
如果要将字符串型的list,tuple,dict转变成原有的类型,可以用eval()
eval还可以对字符串型的输入直接计算。
eval()能对解析的字符串都做处理,而不顾忌可能带来的后果!
在实际应用过程中如果使用对象不是信任源,应该尽量避免使用eval,在需要使用eval的地方可以用安全性更好的ast.literal_eval替代。
ast模块就是帮助Python应用来处理抽象的语法解析的。而该模块下的literal_eval()函数:则会判断需要计算的内容计算后是不是合法的python类型,如果是则进行运算,否则就不进行运算。
别克昂科威刷收音机模块后按键位置变化
别克昂科威中控台收音机操作方法如下:
根据以下功能介绍来调整:POWER/VOL(左边旋转键):按下去是开关,旋转是音量TPK/MANU(右边旋转键):MP3选曲、浏览播放曲目AST:长按此键自动存储收音电台RPT:CD/USB模式下重复播放INT:CD/USB模式下浏览播放RDM:CD/USB模式下随机播放AUXINUSB:USB播放器接口、标准3.5mm音频接口MEMU:CD/USB模式下进入MP3文件夹选择模式,按4-6健上下旋转文件夹SET:音效调节BND:收音波段选择SRC:在收音、CD、MP3之间切换SCAN:意思是浏览、扫描的意思。该键的作用就是用来快速的搜素电台。浏览播放,每一个台播放一会,跳到下一个台,循环,再按此键收听当前电台。
符号表和抽象语法树是什么关系?两者在编译器设计中是否必需
一般的编译器可能包含下面这些模块:
1, 词法分析器:
输入: 源代码
输出: token
2, 语法分析器:
输入: token
输出: AST
在这个过程中, 可以识别出不符合语法规则的语句, 就可以报syntax错误, 如果有syntax错误, 编译结束
3, 语义分析器:
输入: AST
输出: 无
在这个过程中, 根据语言的语义规则来识别语义错误, 要识别语义错误 就必须编译AST, 因为是树的遍历, 假如你先遍历到了int a 这个节点, 接着又遍历到了一个表达式a = 4这个节点, 你需要检查变量a有没有声明啊, 变量a和4的类型批不匹配呢? 这时你如果没有保存变量a的信息, 那么你怎么检查? 所以就需要符号表来保存这些信息了.
4, 代码优化:
最简单的就是常量折叠优化了, 比如: a = 1 + 2 这个语句可以直接换成: a = 3了, 也就是说在编译阶段就把一些必要的运算先计算完成, 在程序运行的时候就不需要计算这些了, 就提高了程序的运行效率. 这部分是最复杂的了, 还有各种各样各样的优化
5, 代码生成:
输入: AST
输出: 可以是虚拟机代码, 可以是本地汇编代码
超级巡警杀毒时出现的发现包裹,包裹是啥意思?需要处理吗?
不需要
这是它一系列的操作流程
一:扫描检测
1)分全面扫描、目录扫描、扫描内存、隔离区与报告。
在扫描设置里,扫描类型可以根据自己的实际需要来进行扫描。比如,你怀疑某个可执行程序是流氓程序,会自动运行并修改注册表,就可以专对可执行程序进行扫描,如果你已经知道在某个盘或者目录,就可以对盘符-目录-可执行文件进行定点扫描,加快扫描速度,节省时间,其他杀毒软件如NOD32虽然也有分盘扫描,但是没有细化分,而Anti-Spyware Toolkit除了可执行程序类型外,还分有包裹(rar/zip等)、全部文件与自定义文件(其能针对某一程序类型或者文件进行扫描,比前面的“可执行程序”更细分定位)可以明确的感受到Anti-Spyware Toolkit在设计上尽量考虑CPU占用率的问题。但是有个问题就是,我能不能构造特殊文件名绕过AST反病毒引擎呢?我在XP2上建立一个可执行程序,名为:lj、、??.exe。在扫描自定义选项里添上程序名后扫描,结果是成功绕过AST扫描。
2)编辑信任列表这又是加快扫描速度的设置,把那些系统文件或者已经知道的安全文件导入,扫描时会直接跳过,还可以避免将某安全软件误报,这比其他卡巴、NOD32直接扼杀来的人性化。但是有一点不足,就是会发生已经编辑到信任列表的程序,扫完也不能正常使用,在信任列表中应该在扫描之外吧,这样的情况算是AST的一个 BUG了。
3)特殊模块 提供Rootkit 检测功能(不使用传统特征码)与NTFS数据流扫描。目前查杀ROOTKIT,基本都是依赖ICE等专门工具,但是有些ROOTKIT使用的是底层驱动,所以ICE等工具需要与其他软件配合,才能完全查杀ROOTKIT,必要时手动再所难免,而Anti-Spyware Toolkit检测ROOTKIT的方法等同和强于ICE,还有可以说是国内首个提供自动化的ROOTKIT检测和清除的工具,并不需要依赖第三方软件,其关键在于它的“SSDT”这个模块(留待后面详细说明);至于NTFS数据流扫描,目前杀毒软件没有充分的检查这一方面的文件,Anti- Spyware Toolkit提供了类Sfind的查找方法,避免麻烦的手动查找清楚,可以发现隐藏在文件流中的病毒。
二:IE修复
比一般的IE修复软件具有更多的功能,比如增加了“锁定首页”、”禁止表单自动完成”。至于“插件免疫”与“恶意网站屏蔽”也比一般软件收集的更全,还可以自己添加需要屏蔽的网站或者插件,其关于插件的描述还是有点意思,至少让你明白这些插件是些什么东西。
三:垃圾清理
有看头的是 “智能扫描”与“文件粉碎”模块,智能扫描就是根据默认的扩展名和用户输入的扩展名来扫描相关的文件,然后定点清除,并在清除的时候,可以对文件进行彻底粉碎;文件粉碎功能,也是定点清除,结合了bcwipe的功能。(其官方解释:粉碎标准遵循美国国防部(DoD 5220.22-M)标准。)个人希望能加入隐藏文件的功能,与文件粉碎相得益彰,免写rootkit了。
四:启动管理
1)注册表虽然加了这个功能,但是出了问题还是需要msconfig,有点麻烦,因为其不能扩大查看完整的文件地址与键路径。如果在启动管理中加入搜索注册表功能那也许会更好些,比如在启动管理删除某个注册表的键值后,搜索有关的键值,然后直接删除 ,并查找并删除关联项。打个比方 : rsrc.dll,开始先点击相关键路径后弹出个窗口,然后输入rsrc.dll搜索这个关键,就自动查找(类msconfig的F3),然后都自行删除。其的“定位到启动文件”又是一个人性化的设计,方便查看管理。如果能加个注册表修复文件关联功能,那也许会更好些。
2)WinSock SPI
自动检测和修复Winsock SPI链的相关错误。也就是从注册表中读SPI相关键值,判断他的结构是否合理。如果你发现有某个dll修改Winsock SPI,拿AST的这个功能来修复WinSock SPI 到系统默认就行了,这样就不需要使用专门的工具进行修复或者删除动作。
五:进程管理
这功能其实就是系统监测,只要点击某个进程,在下方快就有详细的分析与模块,对于所怀疑的或者是检测出来的可以用“强制卸载标记模块”功能来删除,不错吧,但是这对于某些流氓的dll,比如自动加保护的就无法强制卸载成功,或者卸载不干净,这点需要改进。在专业版里,如果你要查看内核进程,可以在模块中点 “从内核获取进程列表”。
六:服务管理
类ICE,可以查看W32、内核驱动、隐藏已知微软服务等功能,对服务的管理还比较自由,其描述我感觉很好,至少我知道关闭某服务可以防止发生什么事,当出问题的时候,知道改做什么,不需要再去手动。但是其对卡巴的AVP等程序还是不能强制卸载成功。(我知道自己提出的要求都比较BT)
七:端口关联
非常不错的功能,检测隐藏的端口,还可以定位远程IP地址与Whois 远程IP地址,关闭端口,断开连接。都避免了手动的麻烦,我比较感兴趣的是Whois远程IP地址,从网上的Whois数据库中,查询曾在Whois服务器上登记过的用户或站点的联络信息,比如查询对象的名称、Email地址和电话号码等等。可惜的是定位远程IP这个功能不够精确,国外只能定位到某个国家;国内只能定位到大范围的地区,希望能在下一版本增加其精确性。
八:SSDT [此条解释来自其官方 FAQ,其本身就已经述说的很清楚]
系统内核服务描述表恢复,显示和摘除被Hook的内核函数,自动还原被Inline hook的内核函数。
主要有三个功能:
1.恢复选择的Hook:恢复您当前行选择的被Hook的函数。
2.恢复所有的Hook:恢复全部列表中的函数地址为系统默认函数地址。
3.仅显示被Hook的函数:仅仅显示被Hook了的函数,这样便于查看。
以划词搜索为例来说,划词搜索使用驱动进行注册表Hook和文件Hook,它的两个驱动文件:hcalway.sys和abhcop.sys.sys交叉保护,划词搜索自身的卸载功能不能删除hcalway.sys和abhcop.sys.sys这两个文件,使用Icesword也不能直接删除这两个文件。对付类似的流氓软件使用的底层驱动,可以在SSDT中找到驱动文件,从红色的“当前服务函数所在模块”寻找它们,然后使用“恢复选择的Hook”功能恢复底层函数,恢复后,即可以删除划词搜索的相关注册表服务,然后在重启动,就可以完全删除驱动和其它的文件了。对一些使用Rootkit技术的灰鸽子、 PcShare木马,你在恢复了SSDT表后,会在进程管理和服务管理中发现一些多出来的项目。
我11.2日想让SSDT模块恢复自身被HOOK的函数,却都提示不能恢复被HOOK的函数:(
九:保险箱
这是专业版本2.0才有的功能,是AST特别为账号保护设计的功能。AST默认把IE加为保护,但是加了之后就打不开IE,提示错误。查看拦截信息无法把被拦截的程序加入被信任的模块栏,提示失败。但是对Firefox却可以正常保护,被拦截的dll也能正常加入信任模块。加入其他MSN、QQ等程序也是正常。这时候突然提示内存不能为read,取消后又提示应用程序错误(0xc0000409),位置(0x68d7295d),程序 drwtsn32.exe出错。开始怀疑是AST导致,关掉后用AST检查这个程序则显示正常。
DrWatson Postmortem Debugger(drwtsn32.exe)是windows XP系统内置的程序错误调试器,在默认状态下,出现程序错误时Dr. Watson 将自动启动。出现以上的问题原因是因为“故障转储文件默认权限设置不当”,也就说,可能是AST专业版在把拦截信息加入到信任列表时,产生的错误操作导致的。由于我的user.dmp与drwtsn32.log已经删除,所以如果发生类似情况,请自行查看这两个文件。
关闭重新启动后,我把默认的IE保护删除,再重新加入保护,一切正常。
十:监控功能
我机子上装着NOD32,检测的速度与AST一样,但是只能把文件放到隔离区,而不能手动操作,AST不但满足了这些要求,只要是某个文件被修改或者被写入,都会发出提醒,AST在小文件与小程序的管理上比卡巴和NOD32等网空要小的多。AST的实时监控使用了驱动编程技术,让工作于系统核心态的驱动程序去拦截所有的文件访问。它会在文件打开,关闭,清除,写入等操作时检查文件是否是病毒携带者,根据用户的决定选择不同的处理方案,如删除,删除该文件或忽略。从其在进程管理的“从内核获取进程列表”使用来看,它很好的控制住Ring0,所以敢于“一秒一刷新”,而不用担心蓝屏的情况出现。
十一:广谱特征码
“广谱特征码”本质上仍旧是特征码,采用了开放式外部病毒广谱特征库过滤法查病毒和接口编程加载法杀病毒原理和方式。误报、误杀率极高。我在使用AST的时候,并未发现此类事件发生,倒是rootkit被杀了许多,基本上鸽子是通杀,如果AST真的只是依靠“广谱特征码”来反病毒,那样就会显的杀伤力不足。
十二:绿色软件
解压即可使用,如果想开机自动运行,可以在“设置”→“启动方式”中选择“自动随系统启动”.还加上了智能升级模块,会自动进行更新。我在使用AST的时候,也同时使用NOD32,并没有互相排斥,机子不能启动使用的情况出现,如python一样的优秀兼容性,可以互相弥补软件中的不足。但是有个BUG还是要说下,不知道是不是模块太多的原因,AST经常出现只有SSDT模块能看到具体的信息,而其他模块什么都看不见的现象,虽然监控功能还是能正常运行,但是有时候会自动变成英文。
十三:总结
就是这样!!!!
实现一个根据python代码自动生成流程图难度有多大
用dis模块去看bytecode,关注一下带JUMP的指令和CALL_FUNCTION相关的指令可以找到分支、跳转和函数调用的相关信息(可以找到跳转和调用的条件,目标,op在source的line number等等信息),再结合inspect的getsource一系列函数应该差不多了。
如果这样可行的话,难度不大。
当然,ast模块去看ast应该也行。不过我之前一些项目经验让我更喜欢直接去看bytecode。
