Windows安全机制---数据执行保护:DEP机制

本文深入探讨了Windows安全机制中的数据执行保护(DEP)原理及其绕过方法,包括利用ZwSetInformationProcess关闭DEP、通过VirtualProtect或VirtualAlloc执行shellcode,以及利用.NET和Java applet进行攻击。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Windows安全机制

微软关于内存保护机制

  1. GS编译技术
  2. SEH的安全校验机制
  3. Heap Cookie,Safe Unlinking等一系列堆安全机制
  4. DEP数据执行保护
  5. ASLR加载地址随机
  6. SEHOP SEH的覆盖保护

数据执行保护:DEP机制

原理

DEP的主要作用是阻止数据页(默认的堆,栈以及内存池页)执行代码。分为软件DEP和硬件DEP,其中软件DEP就是SafeSEH。而硬件DEP操作系统会通过设置内存页的NX/XD属性标记是否运行在本页执行指令。

计算机中设置
在这里插入图片描述
DEP分为4种工作态

  1. Optin:默认仅保护Windows系统组件
  2. Optout:为排除列表程序外的所有程序和服务启用DEP
  3. AlwaysOn:对所有进程启用DEP保护
  4. AlwaysOff:对所有进程都禁用DEP

调试器中设置
在这里插入图片描述
Visual Studio 2008之后默认开启DEP保护,编译的程序会在PE头中设置 IMAGE_DLLCHARACTERISTICS_NX_COMPAT标识,这个标识就在结构体IMAGE_OPTIONAL_HEADER 中DllCharacteristics,如果这个值被设为了0x0100表示采用了DEP保护编译。
局限性

  1. 并不是所有的CPU都支持DEP
  2. 由于兼容性,不可能对所有的进程开辟DEP保护,这样会出现异常。对一些第三方插件DLL和ATL7.1或以前的程序版本,不会开启。
  3. 编译器中的/NXCOMPAT选项生成的程序,只会在Windows Vista以上的系统有效,在之前的系统会被忽略。
  4. 系统提供了某些API函数可以来控制DEP状态,早期的一些系统可以调用这些函数。
绕过
攻击未启用的DEP程序

并不是只要CPU和操作系统支持DEP,所有程序就安全,对于一些进程来说,只要有某一个模块不支持DEP,就不能开启DEP。
在这里插入图片描述
在win7下也有许多的程序没有启用DEP

利用Re2Libc挑战DEP
跳转到ZwSetInformationProcess函数将DEP关闭再转入shellcode执行

原理
一个进程的DEP设置标识保存在KPROCESS结构中的_KEXECUTE_OPTIONS 上,这个标识可以通过API函数ZwQueryInformationProcess 和 ZwSetInformationProcess 进行查询和修改。
在系统中找出一处关闭进程DEP的调用,微软有一个LdrpCheckNXCompatibility函数,当出现DLL收到SafeDisc保护的时候(函数中体现为al=1的时候),就会调用ZwSetInformationProcess函数进行关闭dep,所以我们可以在调用这个函数前把al的值改掉,就能够关闭dep
在这里插入图片描述
只有CMP AL,1成立程序才能继续执行,找到一个指令把AL修改为1,然后转到0x7C93CD6F执行。就会关闭DEP,然后retn跳到shellcode上。

实验
环境

  1. XP sp3 关闭DEP
  2. VS 2008 关闭GS和SafeSEH,release版本,关闭优化

步骤

  1. 查找类似于MOV AL,1 RETN指令
    在这里插入图片描述
    将7C92E252覆盖为函数的返回地址

  2. 利用OllyFindAddr查找关闭DEP的代码位置
    在这里插入图片描述

  3. 修补ebp 在这里插入图片描述
    进入关闭DEP的代码位置处会跳转,跳到如图位置,会给ebp-4处赋值,而ebp在溢出的时候被破坏了,是90909090,就会出现错误。因此在进入关闭DEP的代码位置的时候要使得ebp指向的值是一个可写的位置。借助OllyFindAddr。 在这里插入图片描述
    但是当下寄存器只有esp的值是可写的地址,所以用push esp pop ebp ret 4

  4. 整理ebp和esp
    在这里插入图片描述
    在执行完push esp pop ebp ret 4后,ebp变成了B0,esp变成了B8。当再压入参数的时候。esp会加4,当压入两个参数的时候,ebp就会被破坏掉。所以esp应该在低地址,ebp应该在高地址
    在这里插入图片描述
    在调用ZwSetInformationProcess的时候,有三个参数的压栈操作,其中push 0x22会影响到原来的参数2,但是22和2的效果一致都能关闭DEP
    在这里插入图片描述
    但是在关闭DEP往回跳转的时候,这个位置也出现了错误00000004是之前push的4,这里的原来返回地址也被冲刷了。所以要减小esp或者增大ebp。

  5. 夺回程序的控制权 在这里插入图片描述
    通过retn 0x28指令,来使esp增加0x28个字节。在关闭DEP前加入增加esp的指令地址
    在这里插入图片描述
    在DEP关闭后,retn的地址在12FE04处是我们可以控制的地址,在这里填充一个jmp esp指令的地址。跳到栈的位置,然后再在的位置布置一个短跳转往前跳到shellcode的位置
    shellcode
    “\x90\x90\x90\x90”
    “\x52\xE2\x92\x7C”//MOV EAX,1 RETN地址
    “\x85\x8B\x1D\x5D”//修正EBP retn 0x4
    “\x19\x4A\x97\x7C”//增大ESP
    “\xB4\xC1\xC5\x7D”//jmp esp
    “\x24\xCD\x93\x7C”//关闭DEP代码的起始位置 retn 0x4
    “\xE9\x33\xFF\xFF”
    “\xFF\x90\x90\x90”
    结果
    在这里插入图片描述

跳转到VirtualProtect函数来将shellcode 所在内存页设置为可执行状态,然后转入shellcode执行

原理
在kernel32.dll中,提供了VirtualProtect函数来修改内存属性。

BOOL VirtualProtect(
LPVOID lpAddress        shellcode 所在内存空间起始地址
DWORD dwSize            shellcode大小
DWORD flNewProtect      0x40
PDWORD lpflOldProtect   某个可写地址
)

但是参数中包含0x00,strcpy在复制字符串时候会截断。所以只能攻击memcpy函数。

实验
环境
步骤
shellcode
结果

跳转到VIrtualAlloc函数开辟一段具有执行权限的内存空间,然后将shellcode复制到这段内存执

原理
在kernel32.dll中使用VirtualAlloc函数来申请一段具有可执行属性的内存,把第一跳设为Virtual函数地址,然后将shellcode复制到申请的内存空间中。

LPVOID WINAPI VirtualAlloc{
	_in_opt	LPVOID	lpAddress,	申请内存区域的地址
	_in			SIZE_T	dwSize,		申请的大小
	_in			DWORD	flAllocationType,	申请内存区域的类型
	_in			DWORD	flProtect		访问控制类型如读,写,执行的权限
};

实验
环境
步骤
shellcode
结果

利用可执行内存

原理
有的时候在进程空间会有一段可读可写可执行的内存。将shellcode复制到这段内存中,并劫持流程。
实验
环境

  1. XP sp3 关闭DEP
  2. VS 2008 关闭GS和SafeSEH,release版本,关闭优化
    步骤
    shellcode
    结果
利用.NET攻击
利用Java applet

原理
Java applet控件与.NET控件类似,都可以被IE加载到客户端,而且这些控件的内存空间都具有可执行属性。所以可以将shellcode放在控件的内存中
条件
具有溢出漏洞的ActiveX控件
包含有shellcode的Java applet
可以触发ActiveX控件的POC界面
步骤
1.把含有shellcode的Java applet编译成class文件
2.用POC页面加载这个.class文件和具有溢出漏洞的ActiveX控件。

<html>
<body>
<applet code=Shellcode.class width=300 height=50></applet> //包含.class文件
<script>alert("开ྟ溢出!");</script>
<object classid="clsid:39F64D5B-74E8-482F-95F4-918E54B1B2C8" id="test"> </object>//包含ActiveX控件
<script>
var s = "\u9090";
while (s.length < 54) {
s += "\u9090";
}
s+="\u04EC\u1001";
test.test(s);
</script>
</body>
</html>

3.找到shellcode起始地址,覆盖为函数的返回地址

### 解决 IntelliJ IDEA 中 `@Autowired` 注解导致的红色波浪线错误 在使用 Spring 框架时,如果遇到 `@Autowired` 注解下的依赖注入对象显示为红色波浪线错误或者黄色警告的情况,通常是由以下几个原因引起的: #### 1. **Spring 插件未启用** 如果 Spring 支持插件未被激活,则可能导致 IDE 无法识别 `@Autowired` 或其他 Spring 特定的功能。可以通过以下方式解决问题: - 打开设置菜单:`File -> Settings -> Plugins`。 - 确认已安装并启用了名为 “Spring Framework Support” 的官方插件[^1]。 #### 2. **项目配置文件缺失或不正确** Spring 需要通过 XML 文件、Java Config 类或其他形式来定义 Bean 定义。如果没有正确加载这些配置文件,可能会导致 `@Autowired` 报错。 - 确保项目的 `applicationContext.xml` 或者基于 Java 的配置类(带有 `@Configuration` 和 `@Bean` 注解)已被正确定义和引入。 - 对于 Spring Boot 项目,确认是否存在 `spring.factories` 文件以及是否包含了必要的组件扫描路径[^3]。 #### 3. **模块依赖关系问题** 当前模块可能缺少对 Spring Core 或 Context 组件库的有效引用。这可能是由于 Maven/Gradle 构建工具中的依赖项声明不足造成的。 - 检查 `pom.xml` (Maven) 或 `build.gradle` (Gradle),确保包含如下核心依赖之一: ```xml <!-- For Maven --> <dependency> <groupId>org.springframework</groupId> <artifactId>spring-context</artifactId> <version>${spring.version}</version> </dependency> ``` ```gradle // For Gradle implementation 'org.springframework:spring-context:${springVersion}' ``` - 更新项目依赖树以应用更改:右键点击项目根目录 -> `Maven -> Reload Project` 或运行命令 `./gradlew build --refresh-dependencies`。 #### 4. **IDE 缓存损坏** Intellij IDEA 的缓存机制有时会因各种因素而失效,从而引发误报错误。清除缓存可以有效缓解此类情况。 - 使用快捷组合键 `Ctrl + Alt + Shift + S` 进入项目结构对话框;也可以尝试执行操作序列:`File -> Invalidate Caches / Restart... -> Invalidate and Restart`. #### 5. **启动异常影响正常解析** 若之前存在类似 `com.intellij.diagnostic.PluginException` 的严重初始化失败日志记录,则表明某些关键服务未能成功加载,进而干扰到后续功能表现[^2]。建议重新下载最新稳定版本的 IDEA 并按照标准流程完成初次部署工作。 ```java // 示例代码片段展示如何正确运用 @Autowired 注解实现自动装配 @Service public class StudentService { private final Repository repository; public StudentService(@Qualifier("specificRepository") Repository repo){ this.repository = repo; } } @Component class SpecificComponent{ @Autowired private transient StudentService studentService; // 此处应无任何编译期告警现象发生 } ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值