DEP/ASLR 原理及攻击

1.覆盖返回地址为jmp esp,执行shellcode,当函数返回,返回地址被覆盖为jmpesp，导致执行shellcode

  对付方法：引入Dep(data ExecutionPrevention 数据执行保护)，堆，栈上的内存页属性为不可执行，执行会出错。

DEP

    数据执行保护(DEP)（Data Execution Prevention） 是一套软硬件技术，能够在内存上执行额外检查以帮助防止在系统上运行恶意代码。在 Microsoft Windows XP Service Pack 2及以上版本的Windows中，由硬件和软件一起强制实施 DEP。
    支持 DEP 的 CPU 利用一种叫做“No eXecute 不执行”的技术识别标记出来的区域。如果发现当前执行的代码没有明确标记为可执行（例如程序执行后由病毒溢出到代码执行区的那部分代码），则禁止其执行，那么利用溢出攻击的病毒或网络攻击就无法利用溢出进行破坏了。如果 CPU 不支持 DEP，Windows 会以软件方式模拟出 DEP 的部分功能。 

Anti-Dep：

绕过Dep技术ROP(return oriented programming)，ROP由一系列的 Gadget组成。所谓ROP Gadget，就是一系列以retn结尾的指令。

为了使Gadget地址固定，无论什么时候指向的都是我们的命令，引入ASLR（address space layout randomization 地址空间格局随机化），ASLR，使得加载程序时，不适用固定的加载基地址加载，该技术需要操作系统，和程序的双重支持，

ASLR(Address space layout randomization)

    是一种针对缓冲区溢出的安全保护技术，通过对堆、栈、共享库映射等线性区布局的随机化，通过增加攻击者预测目的地址的难度，防止攻击者直接定位攻击代码位置，达到阻止溢出攻击的目的。如今Linux、FreeBSD、Windows等主流操作系统都已采用了该技术。（虚拟地址）此技术需要操作系统和软件相配合。PE头文件中会设置 IMAGE_DLL_CHARACTERISTICS_DYNAMIC_BASE标示来说明其支持 ASLR

在linux中使用此技术后，杀死某程序后重新开启，地址换）
在windows中使用此技术后，杀死进程后重新开启地址不换，重启才会改变。

影响部分

ASLR所影响的部分有
- 模块随即化：OD打开进程-〉查看-〉可执行模块，基地址在系统重启的时候会变化　
- 堆栈随即化，堆栈基地址会变化，进而导致内存中的变量会发生变化
- PEB/TEB随机化（不用固定的地址去获取ＰＥＢ，ＴＥＢ，用ＦＳ寄存器获取）

Ａｎｔｉ－ＡＳＬＲ模块

• 攻击未时启用的ＡＳＬＲ模块：虽然有映像随机化，但有可能有进程存在未启用ＡＳＬＲ，ＲＯＰ技术要求从固定的地址获得Ｇａｄｇｅｔ，可使用ＯＤ的ＯＬＬＹＦｉｎｄＡｄｄｒ插件查找进程　空间中未启用的ＡＳＬＲ模块
• 堆喷射技术（ＨｅａｐＳｐｒａｙ技术）：虽然堆栈随机化，但HeapSpray技术将ShellCode布局到0x0C0C0C0C（或者其他指定的地址上，通常这个地址要比较大），并不会受堆栈随机化的影响。 其实，HeapSpray中使用ROP绕过DEP的时候，就使用了前面提到的“攻击未启用ASLR的模块”。只是，HeapSpray把ShellCode布局在堆上。
• 覆盖部分返回地址：虽然模块加载基地址发生变化，但是各模块的入口点地址的低字节不变，只有高位变化.对于地址0×12345678，其中5678部分是固定的，如果存在缓冲区溢出，可以通过memcpy对后两个字节进行覆盖，可以将其设置为0×12340000 ~ 0x1234FFFF中的任意一个值。如果通过strcpy进行覆盖，因为strcpy会复制末尾的结束符0×00，那么可以将0×12345678覆盖为0×12345600，或者0×12340001 ~ 0x123400FF。 部分返回地址覆盖，可以使得覆盖后的地址相对于基地址的距离是固定的，可以从基地址附近找可以利用的跳转指令。
  这种方法的通用性不是很强，因为覆盖返回地址时栈上的Cookie会被破坏。不过具体问题具体分析，为了绕过操作系统的安全保护机制需要考虑各种各样的情况。
• ｊａｖａ　Ａｐｐｌｅｔ　Ｓｐｒａｙ：　ｊａｖａ　ａｐｐｌｅｔ中动态申请的内存空间具有可执行属性，可在固定地址上分配滑板指令（如ＮＯＰ）和ｓｈｅｌｌｃｏｄｅ，然后挑转到上面地址执行。和常规的HeapSpray不同，Applet申请空间的上限为100MB，而常规的HeapSpray可以达到1GB。
• ｊｕｓｔ　ｉｎ　Ｔｉｍｅ　Ｃｏｍｐｌｉａｔｉｏｎ（ＪＩＴ）即时编译，也就是解释器（如ｐｙｔｈｏｎ解释器），主要思想是将ＡｃｔｉｏｎＳＣＲＩＰＴ代码进行大量ｘｏｒ操作，然后编译成字节码，并且多次更新到ＦＬＡＳＨ　ＶＭ　这样它会建立很多带有恶意ＸＯＲ操作的内存块
  vary=(0×11223344^0×44332211^0×4433221);
  正常情况下被解释器解释为：
  如果非常规的跳转到中间某一个字节开始执行代码，结果就是另一番景象了：
  关于JIT的详细介绍，可以参考Pointer Inference and JIT Spraying以及Writing JIT-Spray shellcodefor fun and profit，文章末尾会给出链接。
  Pointer Inference and JIT Spraying
  Writing JIT-Spray shellcode for fun and profit （中文版）

最后

以上就是壮观毛巾为你收集整理的DEP/ASLR 原理及攻击的全部内容，希望文章能够帮你解决DEP/ASLR 原理及攻击所遇到的程序开发问题。

如果觉得靠谱客网站的内容还不错，欢迎将靠谱客网站推荐给程序员好友。