绕过__chkesp堆栈检查

最新推荐文章于 2024-02-26 19:00:00 发布
最新推荐文章于 2024-02-26 19:00:00 发布
阅读量2.6k 收藏 1
点赞数 3
分类专栏: 调试 win 文章标签: windows 调试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lixiangminghate/article/details/46612119
版权
调试 同时被 2 个专栏收录
122 篇文章 5 订阅
订阅专栏
win
63 篇文章 4 订阅
订阅专栏

    前面很多注入相关的文章中都提到为了保证注入后原始程序能恢复正常的执行流,需要在编译器中关闭堆栈检查。为了解决问题,这是个好手段,但是不得不说这是回避问题,不是根本上解决问题。本文旨在解决这个问题。

   vs用 __chkesp来实现堆栈检查。__chkesp顾名思义,检查esp的值,检查失败就抱错。什么时候esp会出错?情况很多,如果排除缓冲区溢出的可能,那还有堆栈失衡的情况。比如不正常的退出函数方式。我经常遇到的不正常退出函数引发_chkesp失败一般都发生在修改堆栈上保存的返回地址,使之指向某个裸函数,然后从裸函数执行退出(或者跳转)之后。

    要绕过__chkesp检查,首先要知道怎样的函数调用方式会引起堆栈检查。调用Windows提供的API后编译都会安排一段__chkesp,另外在"直接调用地址"返回后,也会被插入这段代码。那么什么是"直接调用地址"?来看一段代码:

typedef int (*funcAddAddress)(int,int);

int add(int a,int b)
{
	return a+b;
}

int _tmain(int argc, _TCHAR* argv[])
{
	funcAddAddress funcAddAddressPtr = (funcAddAddress)add; 
	add(1,1); //(1)
	printf("======\n");
	(*funcAddAddressPtr)(1,1); //(2)
	return 0;
}
    对同一个函数进行调用,(1)是普通调用方式,不会产生__chkesp,而(2)是我所谓的"直接调用地址"方式,函数返回后会被插入__chkesp。下面用反汇编代码验证一下这个说法: 
	funcAddAddress funcAddAddressPtr = (funcAddAddress)add;
013513EE  mov         dword ptr [funcAddAddressPtr],offset add (1351091h)  
	add(1,1);
013513F5  push        1  
013513F7  push        1  
013513F9  call        add (1351091h)  
013513FE  add         esp,8  
	printf("======\n");
01351401  mov         esi,esp  
01351403  push        offset string "======\n" (135573Ch)  
01351408  call        dword ptr [__imp__printf (13582B0h)]  
0135140E  add         esp,4  
01351411  cmp         esi,esp  
01351413  call        @ILT+310(__RTC_CheckEsp) (135113Bh)  
	(*funcAddAddressPtr)(1,1);
01351418  mov         esi,esp  
0135141A  push        1  
0135141C  push        1  
0135141E  call        dword ptr [funcAddAddressPtr]  
01351421  add         esp,8  
01351424  cmp         esi,esp  
01351426  call        @ILT+310(__RTC_CheckEsp) (135113Bh)  
	return 0;
0135142B  xor         eax,eax
此处补发一个相关的pdf: 产生__chkesp的函数调用方式 

    既然知道了编译器会在什么时候插入__chkesp代码,接下来进入本文的正题,__chkesp检查失败和绕过__chkesp堆栈检查。

    先看下__chkesp检查失败的情况(反面教材):

#include "stdafx.h"
unsigned int retAddress;
void Test();
void NormalFunc()
{
    //data[1]: ebp的值; data[4] :函数返回地址
    unsigned int data[1] = {0x0};
    unsigned int* ptr = data;
    ptr+=3;
    //保存返回地址
    retAddress = *ptr;
    *ptr = (unsigned int)Test;
    return;
}

void Test()
{
    //跳回到main函数体中!
    __asm
    {
        lea eax,[ebp+0x04];
        mov eax,[eax]
        mov retAddress,eax;
        push retAddress;
        ret
    }
}

typedef void (*DirectCallFunc)();

int main()
{
    DirectCallFunc dirCallFunc = NormalFunc;
    (*dirCallFunc)();
    getchar();
    return 0;
}

函数调用前ESI/ESP的值:


函数调用后ESI/ESP的值:


很明显,因为esi!=esp所以引起__chkesp检查失败。接着看看引起失败的原因:

函数调用前,编译器保存了当前栈指针:

	(*dirCallFunc)();
00411435  mov         esi,esp  
00411437  call        dword ptr [dirCallFunc]  
0041143A  cmp         esi,esp  
0041143C  call        @ILT+300(__RTC_CheckEsp) (411131h)  
	getchar();
并在函数中通过PROLOG/EPILOG生成/恢复函数帧框架: 

void Test()
{
00411A90  push        ebp  
00411A91  mov         ebp,esp  
00411A93  sub         esp,0C0h  
00411A99  push        ebx  
00411A9A  push        esi  
00411A9B  push        edi  
00411A9C  lea         edi,[ebp-0C0h]  
00411AA2  mov         ecx,30h  
00411AA7  mov         eax,0CCCCCCCCh  
00411AAC  rep stos    dword ptr es:[edi]

}
00411ABF  pop         edi  
00411AC0  pop         esi  
00411AC1  pop         ebx  
00411AC2  add         esp,0C0h  
00411AC8  cmp         ebp,esp  
00411ACA  call        @ILT+300(__RTC_CheckEsp) (411131h)  
00411ACF  mov         esp,ebp  
00411AD1  pop         ebp  
00411AD2  ret
原本main调用NormalFunc,NormalFunc有编译器生成函数调用框架并在执行完毕后顺利的返回到main函数中,此时堆栈平衡通过__chkesp检查。但是由于NormalFunc的返回地址被修改成Test中,节外生枝的跳转到Test中执行。如果Test函数正常终止,那么函数调用前后将还是堆栈平衡的,进一步说就是函数调用完成后esp==函数调用前esi的值==函数调用前esp的值,因此程序可以毫无悬念的通过了__chkesp检查。然而,这里的Test并不是这样的普通青年,他只正常的走过了PROLOG代码开辟新堆栈,此时esp已发生了变动,然后他2B的通过push/ret的方式,从函数中间越过EPILOG恢复堆栈的代码返回到main函数中(也只能通过这种方式返回到main函数中)。因此函数调用完成后esp!=函数调用前esi的值==函数调用前esp的值,在__chkesp关卡上被截住了~

    现在找到失败的原因了,那找出相应的解决方法也不难:原本Test由编译器自动生成函数栈,大不了取消编译器做这个步骤就行了。这样虽然进入了Test却不额外生成函数帧,Test函数就像main函数的一部分似得,另外由于push/ret是一段esp自平衡的操作,因此堆栈还是维持NormalFunc结束时的样子。

__declspec(naked) void Test()
{
	//跳回到main函数体中!
	__asm
	{
		push retAddress;
                ret
	}
}
    一个什么都没干的裸函数(想干啥自己补全吧),程序仍然从函数中间退出,不过至少能通过__chkesp检查。

    裸函数是简单粗暴的解决方式,但是裸函数内部不能定义局部变量,完全不好用。这就得提出新的改变方案:1.函数得正常开辟调用堆栈,可以正常使用变量;2.函数不经过编译器生成的EPILOG的洗礼,从函数中间返回main函数;3讲了这么多,最重要的,必须能通过_chkesp的检查,否则,并没有什么卵用~

    仔细想想,函数不过是越过EPLLOG代码,然后返回main函数所以才出错的么?大不了在返回前参考vs的代码自己来做EPILOG,来抵消进入Test时PROLOG的影响不就行了?

void Test()
{
	__asm
	{
		pop         edi
		pop         esi
		pop         ebx
		mov         esp,ebp
		pop         ebp
	}
	//跳回到main函数体中! 
        __asm
        {
                push retAddress;
                ret
        }
}
来看下程序调用前后的结果:

附注,也可以把retAddress的地址修改为__chkesp后面的地址~

参考文档:越过__chkesp堆栈检查

Eugene800
关注
  • 3
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
dev调试查看变量的窗口_5 个非常实用的 vs 调试技巧
weixin_39704971的博客
11-20 1465
前言调试是一项非常重要的技能,熟练掌握调试技巧有助于我们快速解决问题。vs 是我们平时编写代码时的首选工具,相信也是大多数小伙伴儿的首选调试工具,因为实际操作起来太方便了,代码编写完,一个 F5 就可以愉快的调试了。今天我想向大家推荐几个非常值得了解 vs 调试技巧。话不多说,我们开始吧。并行堆栈作用简介:我们可以通过调用堆栈窗口查看当前线程的调用栈,局限是只能查看某个线程的调用栈,要想查看每个线...
伪造返回地址绕过CallStack检测以及检测伪造返回地址的实践笔记
01-18 5335
Author:[CISRG]KiSSinGGerE-mail:[email protected]:[email protected]题目有点搞......Anti-CallStack Check and Anti-Anti-CallStack Check...(;- -)发现最近MJ0011的“基于CallStack的Anti-Rootkit HOOK检测思路”和gy
产生chkesp的函数调用方式
07-04
产生__chkesp的函数调用方式.pdf
芯来芯片的硬件栈溢出检测机制(Stack Check)介绍
最新发布
weixin_42031299的博客
02-26 336
硬件的栈溢出检测机制
Visual Studio编辑器 2019:scanf函数返回值被忽略(C4996)报错及四种解决办法
m0_61409069的博客
07-29 5715
scanf()等函数存在于版本较旧的CRT(Cruntimelibrary,partoftheCstandardlibrary)中,具有安全性问题,比如在读取字符时,若不指定%s的宽度,可能会导致缓冲区溢出。VS编译器认为直接使用C语言定义的函数scanf()不检查边界,使用VS编辑器编写C语言代码时,调用。函数输入内容时候报错。错误代码C4996。...
file: i386/chkesp.c Line: 42错误产生原因
10-13 3975
The value of ESP was not properly saved across a function call. 错误在调用DLL中的函数有时候会出现如下对话框的错误:Microsoft Visual C++ Debug Library:Debug Error:Program: ... Module:file: i386/chkesp.cLine:
vs中编译开关:\RTCs
weixin_41487541的博客
09-28 583
名称:堆栈检查 描述: 在Debug模式下将所有栈帧变量初始化为非零值(0xcc) 对所有多字节变量(如数组)进行溢出检查 —— 通过在数组的前端和末尾添加八字节cc,并在函数末尾检查这些额外的字节是否还是cc。 测试: 首先开启\RTCs开关: 项目属性 —> C\C++ —> 代码生成 —> 基本运行时检查 —> 堆栈帧(\RTCs) 接下来写一个简单的函数调用,在x64debug中查看开启\RTCs的结果,代码如下: #includ...
栈溢出——cannary绕过方法详解
qq_42882717的博客
03-14 2404
cannary绕过
关于_RTC_CheckEsp_
no_lock的博客
06-30 2929
今天工作时,反汇编中注意到_RTC_CheckEsp_这个函数,查了查资料,发觉这是个运行时检查函数,应该是用来检查缓冲区溢出的。 具体代码如下: 0135154B  int         3   0135154C  int         3   0135154D  int         3   0135154E  int         3   0135154F  int
DLL调试出错
后恋的专栏
04-25 495
"Debug Error !Program : TradNSP.EXEModule :File : i386/chkesp.cLine : 42The value of ESP was not properly saved across a function call. This is usually a result of calling a function decla
越过 __chkesp 检测的缓冲区溢出
07-04
越过 __chkesp 检测的缓冲区溢出
C标准库源代码(学习C/C++必备)
04-09
介绍说明 C标准库源代码,能提高对C的理解,不错的哦 下载文件列表 Pack : clibsource.rar C 标准库源代码\ABORT.C C标准库源代码\ABS.C C标准库源代码\ACCESS.C C标准库源代码\ADJUSTFD.C C标准库源代码\ALGRITHM ...
【C/C++】VS的cl命令 | 配置环境变量 | 使用命令行编译C/C++程序
Xunlan_博客
08-13 8449
【C/C++】【VS】【配置环境变量】作为一个C++ (C语言) 程序员,VS可谓是编写代码的神器(天下第一IDE!)。但是它的弊端也很明显,那就是程序太大,不知道读者有没有这样的经历:心血来潮想打一段突发奇想的代码,却为VS的启动速度而高血压…另外,当学习编译.dll时,使用VS的图形化ui界面也可能会让我们一知半解…于是,我们可以来学习使用命令行编译C/C++程序。.........
C/C++编程:libcurl学习(linux + cmake && windows10 + vs2019)
OceanStar的博客
03-04 8533
准备 vcpkg install curl[ssh] API curl_easy_init curl_easy_init : 开始libcurl easy会话 #include <curl/curl.h> CURL *curl_easy_init( ); https://curl.se/libcurl/c/libcurl-tutorial.html
【VS】Windbg的gflags.exe调试堆栈溢出,访问越界等问题。
qq_43331089的博客
03-18 1205
gflags.exe是Windbg下的一个小工具,非常好用,对于调试程序隐藏的bug很有帮助。现在 只要是VS2019以上的都会自带gflags.exe。:我在vs2019中遇到访问越界的问题,但程序不会在越界的地方发生崩溃中断,而是在一个不可能存在访问错误的地方发生了错误,以至于无法定位问题的位置。所以在网上看到了Windbg的方法,一开始对Windbg不是很了解,熟悉之后发现Windbg很强大,虽然只用到了其中的一个小工具gflags.exe。这是一个非常简单的越界程序,当i = 10。
DLL 调用错误 -The value of ESP was not properly saved across a function call.
热门推荐
HappySong的专栏
04-07 2万+
在调用DLL中的函数有时候会出现如下对话框的错误:Microsoft Visual C++ Debug Library:Debug Error:Program: ... Module:File: i386/chkesp.cLine: 42The value of ESP was not properly saved across a function call. This is usually a
使用bat脚本编译VS工程
lixiangminghate的专栏
05-09 1万+
一直以为devenv.exe是个gui编译工具,没想到还支持命令行下编译。命令行形式如下:     devenv.exe 解决方案名.sln /rebuild "平台(Win32/x64)|配置(Debug/Release)"     例如,我在C盘下有个名为test的解决方案,要编译出x86/x64平台的Debug/Release,一共4种类型的代码。那可以在test解决方案的同层目录下建立

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值