DEP(数据执行保护)和ASLR(地址空间布局随机化)是Windows系统中的安全机制,防止恶意代码攻击。DEP依赖CPU的内存页标志位与操作系统支持,而ASLR则随机化程序的内存加载地址。绕过DEP的方法包括利用程序中已有的API和改变内存页属性。这些策略通常涉及调整内存执行权限、利用特定汇编指令和调用系统API。
DEP(Data execution protect)数据执行保护,这个功能需要操作系统和硬件的共同支持才可以生效。DEP的原理就是在系统的内存页中设置了一个标志位,标示这个内存页的属性(可执行)。
在硬件上这个工作就交给了CPU来完成,intel CPU在内存页中设置了XD标志位,amd CPU在内存页中设置了NX标志位,都标志了内存页的执行权限。
在操作系统方面,windows xp sp2从开始支持DEP的功能,但是必须将操作系统运行在PAE(Physical address extension)模式下,即使用硬件的这个标志位。
WINXP SP2 默认 /NOEXECUTE = OPTIN;DEP只是对一些必须的windows程序和服务起效。
WIN2K3 SP1默认 /NOEXECUTE = OPTOUT;DEP对所有的windows程序和服务起效,除非是用户自己排除的程序。
ASLR(Address space layout randomization)windows系统中运行的同一个程序其模块加载的地址空间是随机的,也是防止恶意代码攻击的一种手段。(纯系统级别的实现)我们自己编写的程序或者链接库,可以通过设置一个链接选项,Project Property -> Configuration Properties -> Linker -> Advanced -> Randomized Base Address,来设置是否支持ASLR。
绕过DEP的方法:
最低0.47元/天 解锁文章
扫一扫
6044
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
