《Windows核心编程》之“ASLR .vs Rebasing dlls”

最新推荐文章于 2024-04-09 14:39:14 发布
最新推荐文章于 2024-04-09 14:39:14 发布
阅读量1.6k 收藏
点赞数 1
分类专栏: Windows操作系统
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sagittarius_warrior/article/details/52100226
版权

        《Windows核心编程》第14章最后部分提到了“ASLR - Address Sppace Layout Randomization,地址空间分布随机化”特性。该特性允许Windows在第一载入一个DLL时,为它选择一个不同的地址,而不是它的PE文件中指定的“prefered address”,默认为“0x10000000”。在载入DLL时,系统内核会执行ASLR基地址重定位(ASLR rebase fixup),经过修改后的页面为所有使用该DLL的进程所共享。也就是说,由于不需要对每个进程都执行ASLR 基地址重定位,内存的使用效率还是挺高的。

        顺便说一下:关于ASLR基地址重定位的效率,可以参考博文:https://blogs.msdn.microsoft.com/mattev/2007/08/21/enabling-aslr-for-memory-savings/

        在《Windows核心编程》第20章的20.7节描述了“模块的基地址重定位”的原理和方法。当编译器在编译模块代码时,会生成一个“relocation section”,它包含了所有可能需要偏移的机器指令内存地址(一般是导出函数和全局变量),即字节偏移量列表。链接器会将“relocation section”嵌入到PE文件中。在系统Loader载入DLL时,如果DLL能够载入到它的“prefered address”,则不访问“relocation section”,否则需要遍历该列表,并对其中的所有机器指令的内存地址进行修正,即加上“prefered address”与实际载入地址的差值。这个修正的

最低0.47元/天 解锁文章
Sagittarius_Warrior
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
WindowsASLR机制(地址随机化)- 概念、PE操作、VS相关选项
bcbobo21cn的专栏
03-22 2873
1 ASLR机制 Address Space Layout Randomization=地址空间布局随机化; 是一种针对缓冲区溢出的安全保护技术; 没有ASLR时,每次进程执行,加载到内容中,代码所处堆栈stack的位置都是相同的,容易被破解; 如果开启了ASLR,操作系统加载器会针对基地址再去加上一个随机生成的偏移地址,然后再去加载程序模块,通过对堆、栈、共享库映射等线性区布局的随机化,增加攻击者预测目的地址的难度。 地址随机化需要程序自身和操作系统的双重支持...
aslr.rar_ASLR_Minix ASLR_aslr minix_space
09-24
`aslr.patch`文件正是这个过程的关键,它包含了修改Minix内核源码的指令。Minix是一个轻量级的操作系统,常用于教学和研究,因此在其内核中实现ASLR可以为学习和理解操作系统安全提供宝贵的实践机会。 实现ASLR主要...
使用rebase进行dll基地址重定位
jiaoshuchun的专栏
08-28 4081
今天同事做了《Windows核心编程》的读书报告,其中有一个建议如下:假设有3个模块,一个user.exe,另外两个是A.dll,B.dll。 在编译链接各个模块时,我利用VS默认的base address,这样user.exe的默认基地址是0x00400000h,A或B的基地址是0x10000000h。这样,当加载器加载User.exe(它同时隐式链接A,B)。这样,A,B就会有一个被迫改变
KnownDll Herpaderping实现无文件进程注入
dzqxwzoe的博客
08-12 243
本文是对 Windows Process Injection: KnownDlls CachePoisoning的整理学习,并与Herpadering技术结合实现无文件注入。
dll基地址重定位
hxp1994的专栏
07-10 1270
1、定义 基地址重定位:当进行多个dll动态库合起来编译成一个exe文件的时候,每个dll和exe都有默认的基地址,当加载器加载exe的时候,其实的某个dll会发生基地址改变,因此当加载完后,之前dll里面的指令和加载之后的不一样,导致映像文件里的机器代码指令(包含的硬编码地址)与加载后的不一样,此时需要通过rebase进行基地址重定位。 2、常出现的地方&常见的打印错误方式 常出现...
关闭windows的随机地址加载(ASLR)功能。解决每次打开程序加载地址都不一样的问题
meanong的博客
04-20 6770
windows xp之后的系统中,为了防止栈溢出,采用了ASLR(随机地址加载)的方案来保护用户程序的安全。通过ASLR可以增加系统的安全强度,但是一些手动脱壳的程序则将无法正常运行,逆向程序的难度也将增大。因此找到一种通过修改注册表的方式取消系统的ASLR功能。该功能是一个安全选项,无特殊需要不建议关闭。 关闭方法: 修改注册表,win+r,输入regedit即可打开注册表,新建注册...
“飞地”躲避追踪及绕过ASLR.ppt
08-14
“飞地”-KUSER_SHARED_DATA 应用实例1-R0与R3通信 应用实例2-绕过ASLR
《寒江独钓-Windows内核安全编程》电子书及源码.rar
03-29
《寒江独钓-Windows内核安全编程》是一本深入探讨Windows操作系统内核安全的专著,涵盖了编程语言、软件安全以及系统插件等多个领域的知识。本书旨在帮助读者理解和掌握如何在Windows内核环境中进行安全的编程实践,...
安全编程之缓冲区溢出.7z
08-20
**安全编程之缓冲区溢出** 在IT领域,安全编程是一项至关重要的技能,尤其是在系统和应用程序设计中。缓冲区溢出是其中最常见的安全漏洞之一,它可能导致数据丢失、程序崩溃,甚至恶意代码执行,对系统安全构成严重...
DEP与ASLR简述.rar
12-22
ASLR将关键数据结构,如堆、栈、动态链接库(DLLs)以及代码段的基址进行随机偏移,使得每次程序运行时的内存布局都不同,从而降低了攻击者预测和利用内存地址的可能。ASLR的有效性取决于其随机性的强度和系统的其他...
rebase重定位内存地址
09-30
rebase 重定位内存地址;早版本vc自带,但vs2012等都不带了;网上很难找到的。
rebase.rar
07-11
rebase.exe windows 动态库 rebase
Couldn't reserve space for cygwin's heap,Win32 error 0
a6821122的专栏
03-14 1438
Git一直使用都好好的,今天git pull的时候,报了如下的错误,\bin\sh.exe:*** Couldn’t reserve space for cygwin’s heap,Win32 error 0,经过百度之后获知这个问题是因为Cygwin 使用持久性的共享的内存段,有时可能会损坏。这症状是某些 Cygwin 程序开始失败了,但其他应用程序不受影响。 解决方法是:1、通过cmd进入gi...
msys 中编译出现:0 [main] us 0 init_cheap: VirtualAlloc pointer is null, Win32 error 487
shinechow的博客
05-26 277
在“我的电脑”、“计算机”或“此电脑”上右击,选择“属性®”——“高级系统设置”——“高级”选项卡——“环境变量(N)…”,在用户变量或系统变量里双击“PATH”变量,将“C:\Program Files (x86)\Microsoft SDKs\Windows\v7.1A\Bin\x64;由于直接操作内存中的地址应该是比较危险的事情,所以尽量使用一个在“0x68570000”附近的地址,比如“0x69000000”。如果提示:‘rebase’ 不是内部或外部命令,也不是可运行的程序或批处理文件。
WINDOWS和LINUX的内存防护机制
x_nirvana的博客
03-11 5995
一、windows下的内存保护机制0x00、二进制漏洞二进制漏洞是可执行文件(PE、ELF文件等)因编码时考虑不周,造成的软件执行了非预期的功能。二进制漏洞早期主要以栈溢出为主。我们都知道在C语言中调用一个函数,在编译后执行的是CALL指令,CALL指令会执行两个操作:(1)、将CALL指令之后下一条指令入栈。 (2)、跳转到函数地址。函数在开始执行时主要工作为保存该函数会修改的寄存器的值和申请局
Windows下的ASLR保护机制详解及其绕过
最新发布
WdIg-2023的博客
04-09 1012
我们前面已经详细介绍过GS,SafeSEH,和DEP保护机制,大家想一想,如果没有开启任何保护,如果程序存在漏洞我们是不是很容易攻击成功?就算开了前面已经介绍过的保护,我们也有很容易的方法突破这些保护,进而完成攻击。那么我们再次站在开发者的角度,我们如何制定一种保护机制,从而让攻击很难完成呢?
UEFI搭建Windows开发环境
m0_48149548的博客
02-11 1640
UEFI搭建Windows开发环境
Rebase
蜗牛不会跑
07-19 233
https://www.liaoxuefeng.com/wiki/896043488029600/1216289527823648
Windows安全机制---地址随机化:ASLR机制
每昔的博客
10-13 9723
文章目录Windows安全机制地址随机化:ASLR机制原理映像随机化堆栈随机化PEB与TEB随机化绕过攻击未启用ASLR的模块利用部分覆盖进行定位内存地址利用Heap spray进行内存地址定位利用Java applet heap spray定位内存地址为.net控件禁用ASLR Windows安全机制 微软关于内存保护机制 GS编译技术 SEH的安全校验机制 Heap Cookie,Safe ...
Could not disable address space layout randomization (ASLR).
06-06
Address space layout randomization (ASLR) is a security technique used by operating systems to randomize the memory addresses where system components are loaded. This makes it harder for attackers to exploit vulnerabilities in the system. Disabling ASLR completely is not recommended as it weakens the system security. However, if you need to temporarily disable ASLR for a specific application, you can do so by setting the "personality" of the process to disable ASLR. You can use the following command to do so: ``` setarch `uname -m` -R <command> ``` Replace `<command>` with the actual command you want to run without ASLR. Note that this should only be used as a last resort and with caution.
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值