Win10安全特性之执行流保护

Windows 10执行流保护技术详解
最新推荐文章于 2023-03-15 23:13:32 发布
原创 最新推荐文章于 2023-03-15 23:13:32 发布 · 7.4k 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全 #操作系统相关 #异常处理 #内存管理 #操作系统

本文详细介绍了Windows 10中的执行流保护技术,包括CFI(Control-Flow Integrity)和CFG(Control Flow Guard)。CFI通过在二进制文件中插入校验ID来确保指令流的正确性,而CFG则是编译器和操作系统结合的防护手段,通过记录间接调用信息并在执行时进行校验,防止不可信的间接调用。文章还讨论了电脑管家在XP防护中的执行流保护策略,以及这些技术对性能的影响。

1 背景

微软在2015年1月22日公布了windows10技术预览版,Build号:9926。电脑管家反病毒实验室第一时间对其引入的新安全特性进行了深入分析。

众所周知,漏洞利用过程中攻击者若要执行恶意代码,需要破坏程序原有指令的的正常执行。执行流保护的作用就是在程序执行的过程中检测指令流的正常性,当发生不符合预期的情况时,及时进行异常处理。业界针对执行流保护已经有一些相对成熟的技术方案,在微软发布的windows10最新版本中,我们看到了这一防护思想的广泛使用。

2 CFI

CFI即控制流完整性Control-Flow Integrity,主要是通过对二进制可执行文件的动态改写,以此为其增加额外的安全性保障。



这是Mihai Budiu介绍CFI技术时使用的例子。这里通过对二进制可执行文件的改写,对jmp的目的地址前插入一个在改写时约定好的校验ID,在jmp的时候看目的地址前的数据是不是我们约定好的校验ID,如果不是则进入错误处理流程。

同理在call 和 ret的时候也可以进行改写:



左半部分就是一个对call的改写,右半部分是对ret的一个改写,在call的目的地址和ret的返回地址之前插入校验ID,然后改写的call 和ret中增加了对校验ID的检查,如果不符合预期,进入错误处理流程,这个思路和上边对jmp的处理是完全一样的。

3 CFG

实现CFI需要在jmp、call 一个寄存器(或者使用寄存器间接寻址)的时候,目的地址有时必须通过动态获得,且改写的开销又很大,这些都给CFI的实际应用

最低0.47元/天 解锁文章
CFI/CFG 安全防护原理详解(ROP攻击、DOP攻击、插装检测)
墨痕诉清风的博客
12-13 3839
1. 简介 CFI: Control-Flow Integrity(控制流完整性) CFG: Control Flow Guard(Windows的CFI实现) CFG: Control-Flow Graph(控制流图) LTO: Link Time Optimization(链接时优化) 1.1 控制流攻击历史 控制流劫持是一种危害性极大的攻击方式,攻击者能够通过它来获取目标机器的控制权,甚至进行提权操作,对目标机器进行全面控制。当攻击者掌握了被攻击程序的内存错误漏洞后,一般会考虑发起控制流劫持
gcc CFI控制流完整性保护
李老板的移动安全杂货铺
12-03 3266
GCC的CFI(Control Flow Integrity,控制流完整性)机制是一种用于防止针对函数指针和虚函数表的攻击的保护机制。- 在链接时优化(Link-Time Optimization,LTO)下使用:GCC CFI需要在链接时优化(LTO)模式下使用,以便在整个程序的编译过程中进行全局优化和分析。这些情况需要综合考虑并进行调查和解决。综上所述,开启GCC的CFI机制可以提高程序的安全性,但开发者需要仔细权衡使用CFI的风险和利益,并确保进行适当的测试和验证,以确保应用程序的稳定性和安全性。
在Linux中使用C语言实现控制流保护(CFG)【转】
weixin_33874713的博客
07-26 289
转自:http://www.codesec.net/view/537311.html 一、前言 最近版本的windows有一个新的缓解措施叫做控制流保护(CFG)。在一个非直接调用之前――例如,函数指针和虚函数――针对有效调用地址的表检查目标地址。如果地址不是一个已知函数的入口,程序将会终止运行。 如果一个程序有一个缓冲区溢出漏洞,攻击者可以利用它覆盖一个函数地址,并且通过调用那个指针来控制...
分析及防护Win10执行流保护绕过问题
weixin_34179968的博客
03-08 622
绿盟科技 · 2015/08/07 18:44Black Hat USA 2015正在进行,在微软安全响应中心公布的最新贡献榜单中,绿盟科技安全研究员张云海位列第6位,绿盟科技安全团队(NSFST)位列28位,绿盟科技安全团队(NSFST)常年致力于发现并解决计算机以及网络系统中存在的各种安全缺陷。这篇《Windows 10执行流保护绕过问题及修复》是团队在此次大会上分享的主要内容0x00 Con...
控制流保护技术
qq_36963214的博客
10-18 878
Control Transfer Terminating Instructions ENDBR64 — Terminate an Indirect Branch in 64-bit Mode Opcode Instruction Op/En 64-Bit Mode Compat/Leg Mode Description F3 0F 1E FA ENDBR64 NP Valid Valid Terminate indirect branch in 64 bit mode. Instruc
分析及防护Win10 执行流保护绕过问题
嬴政
08-07 4460
原文地址:http://www.panshy.com/articles/201508/security-2512.html Black Hat USA 2015正在进行,在微软安全响应中心公布的最新贡献榜单中,绿盟科技安全研究员张云海位列第6位,绿盟科技安全团队(NSFST)位列28位,绿盟科技 安全团队(NSFST)常年致力于发现并解决计算机以及网络系统中存在的各种安全缺陷。这篇《Wind
WIN10 NET Framework 3.5.rar
05-08
8. **安全性**:.NET Framework 3.5内置了安全特性,如代码访问安全确保只有经过授权的代码才能执行特定操作,防止恶意攻击。 9. **应用程序兼容性**:许多老版的Windows应用程序依赖.NET Framework 3.5,因此...
Win10进程保护驱动源码解析
- 在Windows系统中,驱动程序是关键组件,负责管理各种硬件设备以及执行高级任务,如文件系统操作、网络通信和安全特性。 - 了解驱动程序源码有助于开发者、安全研究人员和IT专业人员深入理解操作系统的工作原理及...
Win10安全加固】:企业级.NET Framework 3.5安装安全策略
![【Win10安全加固】:企业级.NET Framework 3.5安装安全策略]...接着,详细讨论了.NET Framework 3.5在企业级应用中的重要性,特别是在提升性能、稳定性和安全特性方面的作用。文章进一步介绍了在企业环境中安装.N
Windows安全中心内存完整性无法打开问题的处理方法
热门推荐
08-31 10万+
内存完整性无法开启
win10系统64位驱动级防止进程关闭资源
01-20
win10系统64位驱动级防止进程关闭资源,资源注释详细,适用于研究SSDT,SHADOW SSDT的同学参考
wsl -l -v无反应解决办法
feinifi的博客
03-15 1万+
windows子系统出现在命令行wsl -l -v无显示、无反应的问题。原因是控制流保护被关闭了,需要在windows安全中心设置。
关于CFG的研究
4SecNet团队专栏
04-03 2113
关于CFG的研究 CFG(Control Flow Guard)控制流防护,是微软在Windows8.0以及Windows10上推出的新的防护机制 防护点在于,防护间接调用,防止在程序间接调用函数的时候,使用恶意代码进行替换,导致执行恶意程序。CFG的实现机制在于每当存在间接调用的函数的时候,就会先去判断一下间接调用的地址处是不是一个有效的函数的起始地址。主要关注缓解间接调用和调用不可靠目标的问题(在没有CFG支持的Windows中,这个函数不做任何事。在Windows 10中,有了CFG的支持,它指向nt
CFI/CFG 安全防护原理详解
pwl999的博客
12-18 1万+
文章目录1. 简介1.1 控制流攻击历史1.2 CFI的基本概念1.3 CFI发展历史2. Orig CFI2.1 Windows CFG的实现3. CCFIR4. VTV5. Kernel CFI5.1 forward-edge protection CFI(Control-Flow Integrity)5.2 backward-edge protection SCS(Shadow Call Stack)5.3 Shared library support(Cross-DSO)6. 利用硬件来提升CF
网卡设置 网卡的高级设置说明
weixin_30487701的博客
12-08 1万+
网卡设置 网卡的高级设置说明 修改电脑网卡高级设置可以提高网络速度。另外,建议关闭在Realtek网卡高级设置中的以下其他选项:流控制/FlowControl、巨型帧/Jumboframe、大量传送负载/OffloadLargesend、EEE(Energy Efficient Ethernet)、环保节能/GreenEthernet、硬件效验和/OffloadChksum。 自动关闭 PCI...
网吧游戏更新服务器--------各种网卡参数设置
The_IT_Crowd的专栏
06-22 8669
NF网卡高级设置: checksum offload 数据包校验 建议关闭 flow control    流量控制 一定要关闭 ieee802.1p support ieee802.1p支持 建议关闭 jumbo payload size 默认是1500 这个是千兆网络一个新的设置,在下文详细叙述。 low power state speed 网卡节能 建议关闭 network
串口流控制(flow control)
canjiangsu的专栏
06-21 4188
我们在串行通讯处理中,常常看到RTS/CTS和XON/XOFF这两个选项,这就是两个流控制的选项,目前流控制主要应用于调制解调器的数据通讯中,但对普通RS232编程,了解一点这方面的知识是有好处的。那么,流控制在串行通讯中有何作用,在编制串行通讯程序怎样应用呢?这里我们就来谈谈这个问题。   1.流控制在串行通讯中的作用   这里讲到的“流”,当然指的是数据流。数据在两个串口之间传输时,常
代码保护技术:控制流混淆
hamster的博客
11-22 8236
文章大部分内容来源自《软件加密与解密》,本人新手小白只负责学习和整理。 代码混淆的目的是在不改变源程序的功能的同时让程序代码可读性大大降低,使其反编译成本超过通过反编译所带来的利益。根据Collberg等人将代码混淆分为布局混淆,数据混淆,控制流混淆和预防混淆,其中研究较为广泛的是控制流混淆,如控制流平展化算法和不透明谓词混淆等。 1. 控制流 控制流是程序在运行时指令(或陈述、子程序)...
win10 安装程序显示“为了对电脑进行保护,已经阻止此应用” 管理员已阻止你运行此应用
gengyiping18的专栏
01-07 7万+
现象如下图所示: 解决方法如下: 1、“win+x”进入控制面板,选择安全性与维护,在左侧更改windows smartscreen筛选器设置,选择"不执行任何操作",单击确定即可。 2、“win+x”进入控制面板,选择用户账户,选择最下面的“更改用户账户控制设置”,把滑条拉到最下面“从不通知”。 3、“win+r”打开运行,输入gpedit.msc进入组策略,
评论 6
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值