0x03 電腦管家XP防護(hù)的執(zhí)行流保護(hù)
早些年的漏洞攻擊代碼可以直接在�����?臻g或堆空間執(zhí)行指令�����,但近幾年�����,微軟操作系統(tǒng)在安全性方面逐漸加強(qiáng)�����,DEP�����、ASLR等防護(hù)手段的應(yīng)用�����,使得攻擊者必須借助ROP等繞過(guò)手段來(lái)實(shí)現(xiàn)漏洞利用。在ROP利用中�����,棧交換指令Stack pivot必不可少�����。
針對(duì)ROP攻擊的防御長(zhǎng)久以來(lái)是漏洞防御的一個(gè)難題�����,因?yàn)镽OP指令在靜態(tài)層面分析與程序的正常指令流毫無(wú)差別�����,且運(yùn)行時(shí)也是在合法模塊內(nèi)執(zhí)行�����,因此極難防御�����。
管家漏洞防御團(tuán)隊(duì)針對(duì)ROP利用的特點(diǎn)�����,從整個(gè)程序的執(zhí)行流層面進(jìn)行分析�����,研究出在動(dòng)態(tài)運(yùn)行時(shí)區(qū)分是合法指令流還是異常指令流的方法�����,其思想與CFI不謀而合�����。
下邊就是一個(gè)由于錯(cuò)位匯編形成的比較常用的棧交換指令
而實(shí)際正常的執(zhí)行流程是這樣的
以上是沒(méi)有開(kāi)啟XP防護(hù)的情況
開(kāi)啟電腦管家XP防護(hù)之后:
此時(shí)如果攻擊者依靠靜態(tài)分析時(shí)得到棧交換指令位置來(lái)執(zhí)行ROP攻擊的話�����,會(huì)被執(zhí)行流保護(hù)邏輯發(fā)現(xiàn)異常�����,后續(xù)攻擊則無(wú)法實(shí)現(xiàn)�����。
0x04 尾聲
CFG防護(hù)方法需要在編譯鏈接階段來(lái)完成準(zhǔn)備工作�����,同時(shí)需要操作系統(tǒng)的支持�����。CFI無(wú)需編譯時(shí)的幫助�����,且不僅能夠防御call調(diào)用�����,能夠?qū)θ繄?zhí)行流進(jìn)行保護(hù)�����。但CFI需要插入大量的檢測(cè)點(diǎn)�����,并且在執(zhí)行過(guò)程中檢測(cè)的頻率極高,難免對(duì)程序執(zhí)行效率帶來(lái)影響�����。
電腦管家XP版的防御方法相比于前兩者�����,對(duì)性能的影響更小�����,但這種方法是針對(duì)舊版操作系統(tǒng)的緩解方案�����,通用性會(huì)打折扣�����。所以建議廣大windows用戶盡量升級(jí)到最新操作系統(tǒng)�����,享受全面的安全保護(hù)。而由于某些原因無(wú)法升級(jí)的用戶也不必?fù)?dān)心�����,管家XP版會(huì)繼續(xù)提供最高的安全防護(hù)能力。
