加入收藏 | 设为首页 | 会员中心 | 我要投稿 应用网_丽江站长网 (http://www.0888zz.com/)- 科技、建站、数据工具、云上网络、机器学习!
当前位置: 首页 > 服务器 > 安全 > 正文

对CFG问题缓解机制的分析研究

发布时间:2022-07-11 16:11:06 所属栏目:安全 来源:互联网
导读:控制流保护(CFG)是Windows的一种安全机制,其目的是通过检查间接调用的目标地址是否是有效的函数来减轻执行流的重定向,我们可以用这个例子作分析。 0x01 CFG是怎样工作的 通过这个例子,我们用MSVC编译器编译一个exe文件,看看在调用main()之前生成和执行了
   控制流保护(CFG)是Windows的一种安全机制,其目的是通过检查间接调用的目标地址是否是有效的函数来减轻执行流的重定向,我们可以用这个例子作分析。
 
  0x01 CFG是怎样工作的
 
  通过这个例子,我们用MSVC编译器编译一个exe文件,看看在调用main()之前生成和执行了什么代码:
 
  复制
  call __scrt_get_dyn_tls_init_callback
  mov esi, eax
  ...
 
  随后执行:
 
  复制
  __guard_check_icall_fptr dd offset _guard_check_icall_nop
  _guard_check_icall_nop proc near
   retn
  _guard_check_icall_nop endp
  1.
  2.
  3.
  4.
  retn可以绕过,为什么? 这样程序就可以在不支持CFG的旧操作系统版本中运行 。 在支持它的系统中 ,
 
   0x02 Bitmap简介
 
  对于CFG,他们在Load Config目录中的PE中添加了一堆新字段 : Guard CF Check 函 数 指 针 , 该 指 针 指 向guard_check_icall_ptr,是要替换的函数地址和Guard CF函数表, 该表包含所有要设置为有效目标的函数的RVA,在加载PE时创建的Bitmap中。
 
  验证用户调用目标的Ldrp从该第一指令中的LdrSystemDllInit块+0xb0获取Bitmap的地址。 Bitmap包含整个过程中每16个字节的“状态”, 当加载PE时,表中的RVAs被转换为偏移量, 然后相应地设置该偏移量处的状态。
 
 
  假设我们代码中的第一个字节是0x10(010000b),我们从Bitmap传输代码的区域从0x402000(RVA:0x2000)开始,为了清晰起见,我们将使用相同的区域来处理假RVA。 要生成 0x10,我们只需要表中的1个条目:0x2020,跳过前32个字节,使状态设置为0000b,0x2020将下一个状态设置为 01b,Bitmap变为010000b。现在要得到状态11b,假设我们想要字节0x1D(011101b), 我们使用未对齐的RVA,表将变成:0x2000(设置为01b), 0x2012(设置为11b),0x2020(设置为01b)。
 
  要获得10b,我们需要使用带有元数据的特殊类型的 RVA,但很简单,我们将一个字节附加到用于生成10b的 RVA 中 。
 
  元数据是一个标 志: IMAGE_GUARD_FLAG_FID_SUPPRESSED (1) 或
 
  IMAGE_GUARD_FLAG_EXPORT_SUPPRESSED(2)。 所以我们说要生成0x86(10000110b),使用:0x2000与0x2(设置为10b),0x2010(设置为01b),0x2030与0x2(设置为10b)。
 
  0x04 Bitmap 转换
 
  复制
  mov esi, 0DEADh ;GuardCFCheckFunctionPointer points here
   mov esi, [esi + 2] ;get LdrSystemDllInitBlock+0xb0 address
   mov esi, [esi] ;get the Bitmap address
   mov eax, [ebx + 8] ;ebx=fs:[30h] at start time
   lea edi, [eax + xxxxxxxx] ;imagebase + buffer rva
   add ah, 20h ;imagebase + 0x2000
   shr eax, 8 ;shift-right 8 bits to make the offset
   lea esi, [esi + eax*4] ;esi=our code in the Bitmap
   mov ecx, xxxxxxxx ;size of code
   rep movsb
  1.
  2.
  3.
  4.
  5.
  6.
  7.
  8.
  9.
  10.
  我们让加载程序将0DEADH替换为LDRP验证用户调用目标的地址,从中可以得到Bitmap的地址, 我们计算Bitmap(0x402000)中区域的偏移量,并从它复制再生代码。
 
  0x05 分析总结
 
  那么,当检测到无效地址时会发生什么呢? 程序被终止了。 因为大多数改变PE文件的工具或代码不支持CFG:更改以在其他地方执行代码的任何地址,都必须在表中。 这会杀死许多病毒改变入口点地址,或使用入口点Fuzzing(EPO)技术的效果。 但是,如果在PE中禁用CFG,可以用自己的地址替换Guard CF Check函数指针,以获得EPO。

(编辑:应用网_丽江站长网)

【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容!
    相关内容
      推荐文章
      站长推荐
      热点阅读

        【免责声明】本站内容转载自互联网,其发布内容言论不代表本站观点,如果其链接、内容的侵犯您的权益,烦请提交相关链接至邮箱bqsm@foxmail.com我们将及时予以处理。

        建议您使用1920×1080分辨率、谷歌浏览器Google Chrome、Microsoft Edge以获得本站的优质浏览效果

        Copygight © 2013-2023 http://www.0888zz.com/ All Rights Reserved. 应用网_丽江站长网

        ICP备案:浙ICP备12044117号 浙公网安备 33038102330468号