CFG 地址检测位图构建

原创 已于 2022-03-11 11:14:46 修改 · 1k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#系统安全 #数据结构 #算法

于 2022-03-07 19:45:51 首次发布

CFG设计原理及分析

目标地址 :
0x00b613a0 =00000000 10110110 00010011 10100000(b)
首先取高位的3个字节:00000000 10110110 00010011 = 0x00b613
那么CFGbitmap的基地址加上 0x00b613 就是指向一个字节单元的指针。
这个指针最终取到的假设是:
CFGBitmap :0x10100444 = 0001 0000 0001 0000 0000 0100 0100 0100(b)
接着判断目标地址是否以0x10对齐:地址 & 0xf 是否等于 0 ;

如果等于0,那偏移是:最低字节二进制位的前5位,这里就是 10100;
若不等于0,则偏移是: 10100|0x1。
这里的例子,0x00b613a0 & 0xf = 0 ,所以偏移: 1010 0 = 20 (d)
这个偏移就是该函数在CFGbitmap中第20位的位置上,若这个位置是1,说明该函数调用是合法有效的,反之则不是。
那么:
CFGBitmap :0x10100444 = 0001 0000 000**1** 0000 0000 0100 0100 0100(b)20位加粗的 1 ,说明这个调用合法有效。

理论上32位地址有3G的取值范围。但目测一般用不了这么多。因为如果我们利用 32位前3字节将会有

2^24 --- 2^23
167772168388608之间的数组byte,也就是16M将可以表示所有的地址。

那么也就表示16M将可以实现所有地址的记录。

我们 详细分析,每个动态库二进制文件在加载的过程中,都会对齐内存并加上偏移。所以静态分析的文件一般都不会范围很大。

进一步分析64位的系统。这个时候地址范围将会变的比较大。将能表示18,446,744,073,709,551,616范围的地址。目测两个亿级相乘的级别。但是一般情况我们不会用到这么多的地址。而且静态库分析偏移的话也会在低位地址上。这时候其实我们完全可以利用低位地址进行对比,大部分情况将能实现偏移准确校验。

所以,我们默认可以利用低地址32位来直接校验rva。

这个时候,也就转化为和32位相同的情况。

为了贴近真实环境,我这里展示64位下关于sshd进程的相关内存情况

lier@lier-virtual-machine:~$ sudo cat /proc/1158/maps
[sudo] password for lier:
557e5163e000-557e51649000 r--p 00000000 08:05 6292593                    /usr/sbin/sshd
557e51649000-557e516c8000 r-xp 0000b000 08:05 6292593                    /usr/sbin/sshd
557e516c8000-557e51710000 r--p 0008a000 08:05 6292593                    /usr/sbin/sshd
557e51710000-557e51714000 r--p 000d1000 08:05 6292593                    /usr/sbin/sshd
557e51714000-557e51715000 rw-p 000d5000 08:05 6292593                    /usr/sbin/sshd
557e51715000-557e5171a000 rw-p 00000000 00:00 0
557e51e7b000-557e51ebd000 rw-p 00000000 00:00 0                          [heap]
.......
7f73baea6000-7f73baeb0000 rw-p 00000000 00:00 0
7f73baeb0000-7f73baeb4000 r--p 00000000 08:05 6298375                    /usr/lib/x86_64-linux-gnu/libgpg-error.so.0.28.0
7f73baeb4000-7f73baec7000 r-xp 00004000 08:05 6298375                    /usr/lib/x86_64-linux-gnu/libgpg-error.so.0.28.0
7f73baec7000-7f73baed1000 r--p 00017000 08:05 6298375                    /usr/lib/x86_64-linux-gnu/libgpg-error.so.0.28.0
7f73baed1000-7f73baed2000 r--p 00020000 08:05 6298375                    /usr/lib/x86_64-linux-gnu/libgpg-error.so.0.28.0
7f73baed2000-7f73baed3000 rw-p 00021000 08:05 6298375                    /usr/lib/x86_64-linux-gnu/libgpg-error.so.0.28.0
7f73baed3000-7f73baed7000 r--p 00000000 08:05 6293661                    /usr/lib/x86_64-linux-gnu/libresolv-2.31.so
7f73baed7000-7f73baee7000 r-xp 00004000 08:05 6293661                    /usr/lib/x86_64-linux-gnu/libresolv-2.31.so
7f73baee7000-7f73baeea000 r--p 00014000 08:05 6293661                    /usr/lib/x86_64-linux-gnu/libresolv-2.31.so
7f73baeea000-7f73baeeb000 ---p 00017000 08:05 6293661                    /usr/lib/x86_64-linux-gnu/libresolv-2.31.so
7f73baeeb000-7f73baeec000 r--p 00017000 08:05 6293661                    /usr/lib/x86_64-linux-gnu/libresolv-2.31.so
7f73baeec000-7f73baeed000 rw-p 00018000 08:05 6293661                    /usr/lib/x86_64-linux-gnu/libresolv-2.31.so
7f73baeed000-7f73baeef000 rw-p 00000000 00:00 0
......
7f73baef6000-7f73baef8000 rw-p 00000000 00:00 0
7f73baef8000-7f73baefb000 r--p 00000000 08:05 6295312                    /usr/lib/x86_64-linux-gnu/libkrb5support.so.0.1
7f73baefb000-7f73baf02000 r-xp 00003000 08:05 6295312                    /usr/lib/x86_64-linux-gnu/libkrb5support.so.0.1
7f73baf02000-7f73baf05000 r--p 0000a000 08:05 6295312                    /usr/lib/x86_64-linux-gnu/libkrb5support.so.0.1
7f73baf05000-7f73baf06000 r--p 0000c000 08:05 6295312                    /usr/lib/x86_64-linux-gnu/libkrb5support.so.0.1
7f73baf06000-7f73baf07000 rw-p 0000d000 08:05 6295312                    /usr/lib/x86_64-linux-gnu/libkrb5support.so.0.1
7f73baf07000-7f73baf0b000 r--p 00000000 08:05 6292427                    /usr/lib/x86_64-linux-gnu/libk5crypto.so.3.1
7f73baf0b000-7f73baf27000 r-xp 00004000 08:05 6292427                    /usr/lib/x86_64-linux-gnu/libk5crypto.so.3.1
7f73baf27000-7f73baf34000 r--p 00020000 08:05 6292427                    /usr/lib/x86_64-linux-gnu/libk5crypto.so.3.1
7f73baf34000-7f73baf35000 ---p 0002d000 08:05 6292427                    /usr/lib/x86_64-linux-gnu/libk5crypto.so.3.1
7f73baf35000-7f73baf36000 r--p 0002d000 08:05 6292427                    /usr/lib/x86_64-linux-gnu/libk5crypto.so.3.1
7f73baf36000-7f73baf37000 rw-p 0002e000 08:05 6292427                    /usr/lib/x86_64-linux-gnu/libk5crypto.so.3.1
7f73baf37000-7f73baf38000 rw-p 00000000 00:00 0
......
7f73baf57000-7f73baf5b000 rw-p 00000000 00:00 0
7f73baf5b000-7f73baf67000 r--p 00000000 08:05 6291561                    /usr/lib/x86_64-linux-gnu/libgcrypt.so.20.2.5
7f73baf67000-7f73bb035000 r-xp 0000c000 08:05 6291561                    /usr/lib/x86_64-linux-gnu/libgcrypt.so.20.2.5
7f73bb035000-7f73bb072000 r--p 000da000 08:05 6291561                    /usr/lib/x86_64-linux-gnu/libgcrypt.so.20.2.5
7f73bb072000-7f73bb074000 r--p 00116000 08:05 6291561                    /usr/lib/x86_64-linux-gnu/libgcrypt.so.20.2.5
7f73bb074000-7f73bb079000 rw-p 00118000 08:05 6291561                    /usr/lib/x86_64-linux-gnu/libgcrypt.so.20.2.5
7f73bb079000-7f73bb07b000 r--p 00000000 08:05 6292160                    /usr/lib/x86_64-linux-gnu/liblz4.so.1.9.2
7f73bb07b000-7f73bb095000 r-xp 00002000 08:05 6292160                    /usr/lib/x86_64-linux-gnu/liblz4.so.1.9.2
7f73bb095000-7f73bb098000 r--p 0001c000 08:05 6292160                    /usr/lib/x86_64-linux-gnu/liblz4.so.1.9.2
7f73bb098000-7f73bb099000 r--p 0001e000 08:05 6292160                    /usr/lib/x86_64-linux-gnu/liblz4.so.1.9.2
7f73bb099000-7f73bb09a000 rw-p 0001f000 08:05 6292160                    /usr/lib/x86_64-linux-gnu/liblz4.so.1.9.2
7f73bb09a000-7f73bb09d000 r--p 00000000 08:05 6298636                    /usr/lib/x86_64-linux-gnu/liblzma.so.5.2.4
7f73bb09d000-7f73bb0b4000 r-xp 00003000 08:05 6298636                    /usr/lib/x86_64-linux-gnu/liblzma.so.5.2.4
7f73bb0b4000-7f73bb0bf000 r--p 0001a000 08:05 6298636                    /usr/lib/x86_64-linux-gnu/liblzma.so.5.2.4
7f73bb0bf000-7f73bb0c0000 r--p 00024000 08:05 6298636                    /usr/lib/x86_64-linux-gnu/liblzma.so.5.2.4
7f73bb0c0000-7f73bb0c1000 rw-p 00025000 08:05 6298636                    /usr/lib/x86_64-linux-gnu/liblzma.so.5.2.4
7f73bb0c1000-7f73bb0c3000 rw-p 00000000 00:00 0
....
7f73bb164000-7f73bb166000 r--p 00000000 08:05 6298020                    /usr/lib/x86_64-linux-gnu/libcap-ng.so.0.0.0
7f73bb166000-7f73bb169000 r-xp 00002000 08:05 6298020                    /usr/lib/x86_64-linux-gnu/libcap-ng.so.0.0.0
7f73bb169000-7f73bb16a000 r--p 00005000 08:05 6298020                    /usr/lib/x86_64-linux-gnu/libcap-ng.so.0.0.0
7f73bb16a000-7f73bb16b000 r--p 00005000 08:05 6298020                    /usr/lib/x86_64-linux-gnu/libcap-ng.so.0.0.0
7f73bb16b000-7f73bb16c000 rw-p 00006000 08:05 6298020                    /usr/lib/x86_64-linux-gnu/libcap-ng.so.0.0.0
.....
7ffc9c42e000-7ffc9c44f000 rw-p 00000000 00:00 0                          [stack]
7ffc9c55e000-7ffc9c561000 r--p 00000000 00:00 0                          [vvar]
7ffc9c561000-7ffc9c562000 r-xp 00000000 00:00 0                          [vdso]
ffffffffff600000-ffffffffff601000 --xp 00000000 00:00 0                  [vsyscall]
lier@lier-virtual-machine:~$

可以看到大部分库的范围在三个字节以内。我们大可以猜测主流应用程序的关键序列位于rva在三个字节以内可以确认。这个时候我们对每个动态库的计算三个字节。前两个字节作为数组索引,后一字节作为位图信息。两字节将由256x256个字节数组,也就是65536。大小为64KB。

如果按照window cfg的设计逻辑, 前三字节作为索引,将会有更大的寻址空间,也就是256x256x256,16MB的字节数组。

当然我们可以设计两种模式,一种精简模式,重视效率和内存空间的使用。另一种重视精确度,但内存相对消耗较大。

当然这是理论计算最大值,实际应该比这个小一点。

Win10安全特性之执行流保护
PCMGR_Tencent的专栏
02-04 7516
微软在2015年1月22日公布了windows10技术预览版,Build号:9926。电脑管家团队第一时间对其引入的新安全特性进行了深入分析。 众所周知,漏洞利用过程中攻击者若要执行恶意代码,需要破坏程序原有指令的的正常执行。执行流保护的作用就是在程序执行的过程中检测指令流的正常性,当发生不符合预期的情况时,及时进行异常处理。业界针对执行流保护已经有一些相对成熟的技术方案,在微软发布的windo
android bitmap
hexwin的专栏
01-06 923
Bitmap.Config conf = Bitmap.Config.ARGB_8888; WeakReferenceBitmap> bm = new WeakReferenceBitmap>(Bitmap.createBitmap(3000 + 3000, 2000, conf)); Canvas canvas = new Canvas(bm.get()); canvas.drawBitmap
【笔记】【BIOS】CPU Bitmap
NEWLIA 在 优快云 的博客。
08-17 1170
由此可看出,Available Bitmap 的 bit 值为 1 时候,代表启用核心。Disable Bitmap,则是 bit 值为 1 时候,禁用对应核心。再举例,如果只想禁用 4 个核心,转换为 16 进制:F。转换为 16 进制:FF9B7757E7DDDD50。
关于CFG的研究
4SecNet团队专栏
04-03 2142
关于CFG的研究 CFG(Control Flow Guard)控制流防护,是微软在Windows8.0以及Windows10上推出的新的防护机制 防护点在于,防护间接调用,防止在程序间接调用函数的时候,使用恶意代码进行替换,导致执行恶意程序。CFG的实现机制在于每当存在间接调用的函数的时候,就会先去判断一下间接调用的地址处是不是一个有效的函数的起始地址。主要关注缓解间接调用和调用不可靠目标的问题(在没有CFG支持的Windows中,这个函数不做任何事。在Windows 10中,有了CFG的支持,它指向nt
CFG保护机制校验逻辑分析
Sven的忘却日记
09-24 1846
CFG是微软推出的漏洞利用缓解基址,从Windows 8.1开始引入,并且需要编译器的支持,编译器的版本为Virtual Studio 2015 Updated 2版本以上。 在开启了CFG支持以后,编译生成exe程序中,所有间接调用前面都会插入一个_guard_check_icall的检查函数,如果系统不支持CFG机制,则该函数不会生效。 如: eax,[esi] ecx, eax call _...
浅谈-61850-2-服务端模拟软件构建
z5201314100的博客
01-08 5194
目录 一、将附件提供的demo解压至任意文件夹,附件内容如下图 1.1、首先介绍几个重要文件,也是我们测试需要用到的,文章中没有列举到的文件可以忽略。 1.2、运行程序 二、运行程序 三、结语 前两篇文章说到61850的代码一般来说是基于思科的代码,稳定且功能全。本篇文章就以思科代码为例,去构建一个简易61850服务端,展示其用法。并介绍客户端读取的过程及方法。 有一段时间没有接触电...
批量检测网站Google PageRank开源工具
“GooglePR.cfg”为配置文件,记录程序运行时的一些设置参数,如上次打开的路径、窗口大小等。“GooglePR.dof”是Delphi选项文件,保存编译器和项目构建的相关配置。 值得注意的是,由于Google早已关闭公开的...
RAM+Flash协同持久化:构建高可靠嵌入式日志系统的5层架构设计
[RAM+Flash协同持久化:构建高可靠嵌入式日志系统的5层架构设计](https://img-blog.csdnimg.cn/20190222172042667.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9qaWFua3...
底层驱动开发进阶:构建高可靠BMS控制模块的5大核心技巧
本文围绕电池管理系统(BMS)的底层驱动开发展开,系统阐述了嵌入式平台下BMS驱动架构的设计原理与实现方法,涵盖驱动与应用层的接口抽象、RTOS中的任务调度机制以及硬件抽象层(HAL)的构建策略。针对高可靠性需求...
智能手机中控制流检测与污点分析
### 智能手机中控制流检测与污点分析 #### 1. 引言 在程序安全领域,信息流动的检测至关重要。尤其是在智能手机等嵌入式系统中,保护敏感数据的安全,防止信息泄露是一个关键问题。动态污点分析是一种常用的技术,...
构建高效嵌入式系统:uC_OS消息队列6大设计模式实战落地
[构建高效嵌入式系统:uC_OS消息队列6大设计模式实战落地](https://media.geeksforgeeks.org/wp-content/uploads/20230803102810/Blackboard-Architecture---1.png) # 1. 嵌入式系统中消息队列的核心作用 在嵌入式...
reverse索引,BITMAP 索引,函数索引都只有CBO下才会用
congtudi4111的博客
12-22 203
不光是reverse索引,BITMAP 索引,函数索引都只有CBO才会认! http://www.itpub.net/thread-563349-1-1.html 降序索引好像也是只有CBO下才会有效啊。 以下是降序索引的...
Oracle 常见索引种类
Ryan——进阶之路
08-01 1431
一、b-tree索引   Oracle数据库中最常见的索引类型是b-tree索引,也就是B-树索引,以其同名的计算科学结构命名。每当你发布基本的没有经过进一步修改的CREATE INDEX语句时,就是在创建b-tree索引。这里不打算对b-tree索引进行更多深入的探讨,这些用户都可以自己了解。基本上这些索引存储你创建的索引所在的列值以及用来查找自身行的指向实际数据表的指针。记住,这
c语言.cfg文件转化为java.cfg_在Linux中使用C语言实现控制流保护(CFG)【转】
weixin_29113833的博客
02-23 321
一、前言最近版本的windows有一个新的缓解措施叫做控制流保护(CFG)。在一个非直接调用之前――例如,函数指针和虚函数――针对有效调用地址的表检查目标地址。如果地址不是一个已知函数的入口,程序将会终止运行。如果一个程序有一个缓冲区溢出漏洞,攻击者可以利用它覆盖一个函数地址,并且通过调用那个指针来控制程序执行流。这是ROP攻击的一种方法,攻击者构建一系列配件地址链,一个配件是一组包含ret指令的...
Bitmap转换为字节码/输出流
Habby的专栏
01-22 6017
ByteBuffer buf = ByteBuffer.allocate(bitmap.getWidth() * bitmap.getHeight() * 4); bitmap.copyPixelsToBuffer(buf);
CFI/CFG 安全防护原理详解
热门推荐
pwl999的博客
12-18 1万+
文章目录1. 简介1.1 控制流攻击历史1.2 CFI的基本概念1.3 CFI发展历史2. Orig CFI2.1 Windows CFG的实现3. CCFIR4. VTV5. Kernel CFI5.1 forward-edge protection CFI(Control-Flow Integrity)5.2 backward-edge protection SCS(Shadow Call Stack)5.3 Shared library support(Cross-DSO)6. 利用硬件来提升CF
COOP绕过微软最新CFG(Control Flow Guard)
u012679087的专栏
11-16 2537
原文链接:https://bbs.pediy.com/thread-217335.htm 最新的漏洞利用开始渐渐脱离基于ROP的代码重用攻击。在过去的两年里,出现了一些关于一种新的代码重用攻击的文章,Counterfeit Object-Oriented Programming(COOP)。COOP是一种顶级的针对forward-edge的执行流完整性(CFI) 的攻击方式。
CVE-2021-26411在野样本中利用RPC绕过CFG缓解技术的研究
further_eye的博客
04-29 1309
CVE-2021-26411在野样本中出现了利用RPC绕过CFG缓解技术的这一创新方法。这种利用方法无需构造ROP链,直接通过伪造RPC_MESSAGE即可实现任意代码执行,利用简单且稳定,有理由相信该方法会成为绕过CFG缓解措施的一种新的有效利用技术。
使用C语言生成bitmap
liouyi250的博客
12-21 4765
C语言 bitmap 画图
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值