【技术探索】EPS文件利用如何逃逸 EMET

前几天，PhysicalDrive0

(恶意软件猎人) 公布了一个新的 word 文档样本，我们在 Morphisec

实验室中检验了这个样本，验证是否我们的产品能够做到立即防御。

如预期的那样，它做到了。当我们打开这个 word

文档的时候，这个恶意文档立即尝试去执行并感染我们的机器，由于我们的 WinWord 应用程序被 Morphisec Protector

所保护，所以这次攻击马上被防护了，并且被围困，看下面：

这个方法相当聪明。我打算深入看一下，并研究了来自 Morphisec interception 的日志。我们发现相当有趣的是：恶意行为来自 EPS(image) 文件的处理过程。

我们决定关闭 Morphisec protection，来验证一下会发生什么。我们很惊讶地发现这个样本完全逃逸了最新版 EMET 5.5 的检测，见下面(现在最新版为 5.5.2)

需要指出的是，关于这个特别的漏洞，CVE-2015-2545，“微软畸形

EPS(Encapsulated Post Scrip) 文件漏洞”，从 2015年11月开始(MS15-099)，一个补丁已经被发布，可以用来修复这个漏洞。所以任何已经打了这个补丁的系统都可以被保护。但鉴于无止境地打打补丁既浪费时间又会对系统造成损害，许多系统还会有很长一段时间处于没有打补丁的环境中。

与我们的研究同时进行的 @r41p41 ，在博客里公布了他对这个利用的发现(基于一个稍微有些不同的样本)。鉴于

@r41p41 已经描述了逃逸 EMET 的具体细节（我想感谢 @r41p41

对于我们这次研究的贡献），我决定采用另一种更高级的方式做研究，以一种不同的视角进行说明。

我们对 PostScript 抽象层的研究

这里我将通过描述 PostScript 文件里面对于 ROP 的搜索（在一些反混淆之后）来研究 PostScript 抽象层。

我们分析的这个样本的哈希值是： 23368088b183a8b7dc59f33413a760daa06fa0e027a1996677c97db2aeec22b8

在接下来的技术描述中，我主要关注 32位程序(的利用)。当然，这个利用也可以在 64位程序上工作。这些代码片段代表已经去混淆的代码。

值得一提的是几乎所有已存在的这个利用的样本都包含相同的 EPS文件，只是稍微做了一些修改，因此完全理解它是如何工作的，非常重要。

1. 首先，触发一次漏洞，目的是为了判断操作系统是 32 位还是 64 位。