|
谈Safeseh如何保护VISTA用户内存安全(2)
异常处理过程:
根据堆栈中SEH的地址,确认是否属于一个IMAGE的地址空间。
如果属于
读取ntdll的加载模块数据内存对应的“SEH函数表的加密地址,IMAGE的开始地址,IMAGE的长度,合法SEH函数的个数"记录 读出shareuser内存中的一个随机数,解密SEH函数表的加密地址,读出真实的SEH函数表地址。
如果该地址不为0,代表该IMAGE支持Safeseh根据合法SEH函数的个数,依次计算合法合法SEH函数的地址并和当前SEH地址进行比较,如果符合执行SEH函数,如果全不符合则不执行当前SEH指定的地址,跳出不执行。
如果该地址为0,代表该IMAGE不支持Safeseh,只要该内存属于该IMAGE.code范围内的代码都可以执行。
如果不属于
检测该地址的内存特征。一般属于内核空间的未加载用户数据地址可以执行(但是其实等效于无法执行的,这块不可能加载用户数据,可能是MS为了迷惑一些研究者吧,看见代码能跳转到如0xcccccccc地址上,以为能饶过Safeseh。)
VISTA下的Safeseh的安全性
Safeseh是非常强悍的,如果一个进程加载的所有模块都是支持Safeseh的image,覆盖seh获得利用就根本不可能。至少VISTA下99%的系统库是支持Safeseh的image。而xp sp2 99%的系统库是不支持Safeseh的image,因此Safeseh虽然是xp sp2就开始使用的技术,但应该算是在VISTA下才开始发挥作用的技术。当然如果进程存在一个不支持Safeseh的IMAGE就等于整个Safeseh的机制失效,不过由于VISTA下支持进程空间随机技术,可以深层抵御这种情况下的seh覆盖利用。
当然一个思路是:是否可以通过覆盖shareuser内存中的随机数字和ntdll的SEH函数表的加密地址使得计算出来的SEH函数表的地址为0饶过Safeseh的保护。不过这很困难,因为要达到这个目的除非存在下面的情况:
情况A:知道shareuser内存中加密随机数,并能修改SEH加密地址,则需要知道ntdll加载的地址(随每次启动不同),且能通过漏洞获取shareuser内存中加密随机数,通过计算获得为0的加密地址再写入到SEH加密地址中。
情况B:知道SEH加密地址的数值,并能修改shareuser内存中加密随机数,则需要知道ntdll加载的地址(随每次启动不同),且能通过漏洞获取SEH加密地址的数字,通过计算获得为0的加密KEY,再写入到shareuser内存中。
情况C:需要知道ntdll加载的地址,并能够改写修改SEH加密地址和shareuser内存中加密随机数。以上3种情况都需要特定的复合条件,很难具备。
可能的问题
依然存在着一些可能的问题。
第一就是支持Safeseh需要.net的编译器支持,且程序所有加载的IMAGE都需要支持Safeseh,否则容易导致失效,但依然有大量的第三方程序和库不是使用.net编译的。
第二就是我使用的.net 2003只对C++的windows应用的默认编译中就支持Safeseh安全特性,在.net的应用编译中,对于运行时生成的托管代码,即使打开安全选项也不会支持一些安全特性,不知道.net 2005或者MS是否有最新的支持VISTA的.net出来
|
