《程序员》3月文章
申明。文章仅代表个人观点,与所在公司无任何联系。
-
概述
在安全编码实践一中我们谈到GS编译选项和缓存溢出。缓存溢出的直接后果就是可能导致恶意代码的远<wbr></wbr>程执行。GS选项存在自身的局限,例如,有若干方法可以绕过GS选项的保护。
在这篇文章里,我们会介绍另外一个非常重要的安全特性<wbr></wbr>:数据执行保护,即DEP-Data Execution Prevention,以及与之对应的NXCOMPAT选项。
在栈溢出程序例子中,我们看到,恶意代码是被存放在栈(stack)上的。类似的,如果是一个堆(heap)溢出的安全漏洞,恶意代码是被存放在堆上。无论堆还是栈<wbr></wbr>,都是数据页面。在数据页面上,通常情况下,是不应该执行代码的。
DEP,就是禁止应用程序和服务在非可执行的内存区(non-executable memory)上执行指令。
-
DEP和硬件支持
在探讨DEP的原理前,我们先区分两个容易引起混淆的概念:软件DEP(Software DEP)和硬件DEP(Hardware-enforced DEP)。
软件DEP,并不是真正意义上的DEP。简单的说,它的原理是检查异常处理是否安全(SEH-Safe Exception Handling)。它是完全通过软件支持的一种安全特性。在以后的安全编码实践中<wbr></wbr>我们会专门讨论SEH。
硬件DEP,则是需要CPU提供支持的,同软件DEP相比,硬件DEP提供的保护更为全面。以后我们提到的DEP,都是指硬件DEP。
在80x86体系结构中,操作系统的内存管理是通过页面(page)存储方式来实现的。虚拟内存空间的管理,如代码,数据堆栈<wbr></wbr>,都是通过页面方式来映射到真正的物理内存上。原理参见下图【1】。
图1:页面内存映射
在AMD64位CPU上,在页面表(page table)中的页面信息加了一个特殊的位,NX位(No eXecute)。
-
如果NX位为0,这个页面上可以执行指令。
-
如果NX位为1,这个页面上不允许执行指令。如果试图执行指令的话<wbr></wbr>,就会产生异常。
Intel在它的CPU上也提供了类似的支持,称为XD 位( eXecute Disable),其原理和AMD的NX是完全一样的。
操作系统对DEP的支持,就是将系统或应用程序的数据页面,标注上NX位。这样,一旦由于堆栈缓存溢出的安全漏洞,导致恶意代码试图在数<wbr></wbr>据页面上运行,CPU就会产生异常,导致程序终止,而不是去执行恶意指令。
Windows对DEP的支持是从Windows XP SP2,和Windows Server 2003开始的。用户可以通过Control Panel à System àAdvanced àPerformance来查看系统的DEP设置。
图2:DEP设置
-
使用NXCOMPAT选项
NXCOMPAT是一个链接(LINK)选项,从Visual Studio 2005起开始支持。在具体介绍NXCOMPAT选项前,我们先看下面一段代码:
// DEP.cpp: Demo of how DEP protects executing code from data page
//
#include "stdafx.h"
/* win32_exec - EXITFUNC=process CMD=calc.exe Size=164 Encoder=Pex http://metasploit.com */
unsigned char scode[] =
"\x2b\xc9\x83\xe9\xdd\xe8\xff<wbr></wbr>\xff\xff\xff\xc0\x5e\x81\x76<wbr></wbr>\x0e\xd2"
"\xbd\xf7\x35\x83\xee\xfc\xe2<wbr></wbr>\xf4\x2e\x55\xb3\x35\xd2\xbd<wbr></wbr>\x7c\x70"
"\xee\x36\x8b\x30\xaa\xbc\x18<wbr></wbr>\xbe\x9d\xa5\x7c\x6a\xf2\xbc<wbr></wbr>\x1c\x7c"
"\x59\x89\x7c\x34\x3c\x8c\x37<wbr></wbr>\xac\x7e\x39\x37\x41\xd5\x7c<wbr></wbr>\x3d\x38"
"\xd3\x7f\x1c\xc1\xe9\xe9\xd3<wbr></wbr>\x31\xa7\x58\x7c\x6a\xf6\xbc<wbr></wbr>\x1c\x53"
"\x59\xb1\xbc\xbe\x8d\xa1\xf6<wbr></wbr>\xde\x59\xa1\x7c\x34\x39\x34<wbr></wbr>\xab\x11"
"\xd6\x7e\xc6\xf5\xb6\x36\xb7<wbr></wbr>\x05\x57\x7d\x8f\x39\x59\xfd<wbr></wbr>\xfb\xbe"
"\xa2\xa1\x5a\xbe\xba\xb5\x1c<wbr></wbr>\x3c\x59\x3d\x47\x35\xd2\xbd<wbr></wbr>\x7c\x5d"
"\xee\xe2\xc6\xc3\xb2\xeb\x7e<wbr></wbr>\xcd\x51\x7d\x8c\x65\xba\xc3<wbr></wbr>\x2f\xd7"
"\xa1\xd5\x6f\xcb\x58\xb3\xa0<wbr></wbr>\xca\x35\xde\x96\x59\xb1\x93<wbr></wbr>\x92\x4d"
"\xb7\xbd\xf7\x35";
int _tmain(int argc, _TCHAR* argv[])
{
void (*pRunCalc)();
pRunCalc = (void (*) ()) (void *) scode;
pRunCalc();
return 0;
}
字符串sCode所包含的是一段shellcode,也就是一段汇编代码。这段shellcode的功能是运行calc.exe,即计算器程序。pRunCalc作为函数指针指向这段代码。整个程序的目的就是试图在数据页面上执<wbr></wbr>行代码。
在Visual Studio 2005环境,用Win32 Console Application类型,编译这个程序,生成DEP.exe。
在一台Windows Vista 32位OS,有DEP支持的 机器上,运行DEP.exe。sCode指向的shellcode被执行,弹出了计算器窗口。
为什么DEP没有起保护作用呢?这是因为出于应用程序兼容性的考虑,在Windows Vista 32位的缺省配置下,DEP只负责保护Windows的系统程序和服务,而不包括其它应用程序。
如果在连接选项上加上/NXCOMPAT,重新链接生成DEP.exe。执行DEP.exe则会出现
图3:DEP.exe异常中止
关闭这个对话框后,在任务条上会弹出如下提示:
图4:DEP触发提示
这就表明是由于DEP保护机制的触发,而导致DEP<wbr></wbr>.exe程序被终止。
如果用WinDBG调试的话,会发现,当DEP.exe试图运行s<wbr></wbr>hellcode的第一条指令的时候,出现了系统异常。
0:000:x86> g
(1764.b38): Access violation - code c0000005 (first chance)
First chance exceptions are reported before any exception handling.
This exception may be expected and handled.
*** WARNING: Unable to verify checksum for DEP.exe
DEP!scode:
00000000`00417000 2bc9 sub ecx,ecx
0:000:x86> db 00417000 << 00417000就是sCode的地址
00000000`00417000 2b c9 83 e9 dd e8 ff ff-ff ff c0 5e 81 76 0e d2 +..........^.v..
00000000`00417010 bd f7 35 83 ee fc e2 f4-2e 55 b3 35 d2 bd 7c 70 ..5......U.5..|p
00000000`00417020 ee 36 8b 30 aa bc 18 be-9d a5 7c 6a f2 bc 1c 7c .6.0......|j...|
00000000`00417030 59 89 7c 34 3c 8c 37 ac-7e 39 37 41 d5 7c 3d 38 Y.|4<.7.~97A.|=8
00000000`00417040 d3 7f 1c c1 e9 e9 d3 31-a7 58 7c 6a f6 bc 1c 53 .......1.X|j...S
00000000`00417050 59 b1 bc be 8d a1 f6 de-59 a1 7c 34 39 34 ab 11 Y.......Y.|494..
00000000`00417060 d6 7e c6 f5 b6 36 b7 05-57 7d 8f 39 59 fd fb be .~...6..W}.9Y...
00000000`00417070 a2 a1 5a be ba b5 1c 3c-59 3d 47 35 d2 bd 7c 5d ..Z....<Y=G5..|]
我们看出,一旦使用的/NXCOMPAT选项,生成的程序在运行时候就会受到DEP机制的保护。
-
NXCOMPAT选项的内部实现
NXCOMPAT的实现,是通过在Windows PE文件头信息(PE Header)中设置IMAGE_DLLCHARACTERISTICS_NX<wbr></wbr>_COMPAT这个标志位。参见MSDN具体的定义信息如下【2】
typedef struct _IMAGE_OPTIONAL_HEADER {
WORD Magic;
BYTE MajorLinkerVersion;
BYTE MinorLinkerVersion;
… …
WORD DllCharacteristics;
… …
} IMAGE_OPTIONAL_HEADER,
*PIMAGE_OPTIONAL_HEADER;
DllCharacteristics
The DLL characteristics of the image. The following values are defined.
IMAGE_DLLCHARACTERISTICS_NX<wbr></wbr>_COMPAT
0x0100 The image is compatible with data execution prevention (DEP).
当IMAGE_DLLCHARACTERISTICS_NX<wbr></wbr>_COMPAT被设置时,就意味该程序选择在存在DEP支持的情况下,被DEP机制保护。
-
NXCOMPAT选项的局限
首先,并不是所有的CPU都提供了硬件DEP的支持。
其次,NXCOMPAT选项,或者是IMAGE_DLLCHARACTERISTICS_NX<wbr></wbr>_COMPAT的设置,只对Windows Vista系统有效。在以前的系统上,如Windows XPSP2,这个设置会被忽略。也就是说,应用程序并不能自己决定是否被DEP保护。
就性能而言,由于是CPU提供的硬件支持并触发异常,并不会有什么影响。
更大的考虑是兼容性。特别的,如果你的程序使用了ATL 7.1或更早的版本,由于ATL会在数据页面上产生执行代码(不要问我以前ATL为什么会这样设计。J),使用DEP保护运行时就会出现系统异常。
如果你的程序要使用第三方的插件DLL的话,而又事先无法确定第三方的DLL是否可以支持DEP的话,使用NXCOMPAT也可能会有问题。这是因为DEP的保护对象是进程一级。一个典型的例子是IE。IE需要支持第三方的IE Plugin插件。
使用Task Manager,选择Data Execution Protection列,可以看到在Windows Vista下,iexplorer.exe并没有被DEP保护。
图5:IE的DEP设置
同GS选项类似,也存在其它攻击方式可以绕过NXCOMPAT+DEP的保护机制,例如return-to-libc攻击。【3】
-
总结
DEP,也就是数据执行保护,可以有效降低堆或栈上的缓存溢出漏洞<wbr></wbr>的危害性。采用NXCOMPAT选项后,应用程序的运行被DEP 机制保护。在考虑兼容性的前提下,建议开发人员采用NXCOMPA<wbr></wbr>T链接选项。
-
参考文献
1)Page table:http://en.wikipedia.org/wiki<wbr></wbr>/Page_table
2)http://msdn2.microsoft.com/en<wbr></wbr>-us/library/ms680339(VS.85)<wbr></wbr>.aspx
3)Return-to-libc attack:http://en.wikipedia.org/wiki<wbr></wbr>/Return-to-libc_attack
4)Writing Secure Code for Windows Vista, Michael Howard, David LeBlanc.
分享到:
相关推荐
通过更新此代码,可以解决Delphi7编译出的程序在调用WebService时总是因windows数据执行保护而失败的问题。
EAS二次开发中DEP在编辑或者列表界面写脚本时可调用的执行sql语句的方法。【本方法仅用于客户端代码中,如果是服务端代码,即对某实体进行DEP拓展,请参照官方出品DEP脚本指南】
DEP解除与保护详细步骤 可完美解除DEP保护 提升系统性能
完美解决方法:IE8 DEP 为了帮助保护您的计算机,windows 已经关闭了此程序 自动关闭 IE8.0
Golang的dep依赖关系管理器在其Gopkg.toml清单中提供了元数据选项。 dep设计师有意避免以任何方式使用此元数据; 它声称该属性可供外部工具依赖。 在没有简单的TOML解析工具(如jq或Python的JSON json.tool的情况下...
pygotham_boiler 从NYC DOB BIS和NYC DEP CATS导入NYC锅炉许可证数据的代码库。 可以在找到描述此代码的演示幻灯片。
主要涉及金蝶EAS dep二次开发的实战练习,包括:1.dep基础开发(方案,元数据,字段设置,新增字段) 2.dep脚本开发 (控件属性,必录逻辑,监听等) 等,需要的请下载,适合新手
金蝶DEP开发平台,页面脚本开发语言,方便二次开发加字段
用于检查Windows二进制文件(EXE / DLL)是否已通过ASLR,DEP,SafeSEH,StrongNaming,Authenticode,Control Flow Guard和HighEntropyVA编译的PowerShell脚本。 Import the module Import-Module .\Get-...
使用Kernel32.dll中的API设置系统DEP(数据执行保护)功能。
EAS中DEP的一些解决方案,含DEP脚本、BOTP等(供应链部分),
python-pandas的一些小练习——东北大学大数据班数据挖掘实训Python基础二(2) 实训练习:练习使用pandas 包中的dataframe和方法。 1将数据读取为dataframe类型,命名为df 2查看数据的形状[了解数据有多少行、多少...
Windows Vista下如何启动或者禁用DEP(数据执行保护)
DEP大类 DEP方案编码 DEP方案中文名称 业务场景 简要实现方案 参考开发工作量(人/天) 新增及调整字段 EASSCMA1P0001 采购入库单增加项目字段 希望能实现项目采购,需要在采购入库单中加入项目字段,调用辅助资料...
水疗中心 该项目是使用版本10.0.6生成的。...运行ng test通过执行单元测试。 运行端到端测试 运行ng e2e以通过执行端到端测试。 进一步的帮助 要获得有关Angular CLI的更多帮助,请使用ng help或查看 。
jettison.jar --组装解析Json ojdbc7.jar --数据库操作 reportng-1.1.4.jar -- testng测试报告美化插件 velocity-dep-1.4.jar -- reportng-1.1.4.jar的依赖库 guice-4.0.jar -- reportng-1.1.4.jar的依赖库
金蝶EAS DEP脚本汇总.
添加DEP保护的小工具,欢迎使用。
资源分类:Python库 所属语言:Python 资源全名:cfn-dep2layer-0.0.1.tar.gz 资源来源:官方 安装方法:https://lanzao.blog.csdn.net/article/details/101784059
通过dep脚本扩展实现界面调用引入,无需再到引入引出下进行数据引入