CFG保护机制校验逻辑分析

最新推荐文章于 2022-03-09 14:09:03 发布
最新推荐文章于 2022-03-09 14:09:03 发布
阅读量1.2k 收藏 1
点赞数
分类专栏: Windows原理 文章标签: CFG保护机制 CFG
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cssxn/article/details/101285088
版权

CFG(Control Flow Guard)是微软推出的漏洞利用缓解机制,从Windows 8.1开始引入,并且需要编译器的支持,编译器的版本为Virtual Studio 2015 Updated 2版本以上。

在开启了CFG支持以后,编译生成exe程序中,所有间接调用前面都会插入一个_guard_check_icall的检查函数,如果系统不支持CFG机制,则该函数不会生效。

如:

eax,[esi]
ecx, eax
call _guard_check_icall  // CFG检查函数
call eax

_guard_check_icall函数的地址,在PE程序被系统加载的时候会被替换成nt!LdrpValidateUserCallTarget函数的地址
nt!LdrpValidateUserCallTarget函数的参数就是上面ecx的值,也就是间接调用的函数地址

校验逻辑如下:

1)间接调用函数地址共4字节,取高3字节的值加上CFGBitmap表的基址,得到CFGBitmap表中的值
2)判断间接调用地址是否0x10对齐:
2.1) 如果是对齐的,函数地址的第4-8位的值,就是上面获取的CFGBitmap表值的位偏移
2.2) 如果不是对齐的,函数地址的第4-8位的值,再或上1,得到的值就是CFGBitmap表值的位偏移
3)验证CFGBitmap表值的位偏移处的bit位,如果是1,则说明这个函数是有效的,否则产生异常

在PE结构的loadConfig信息中保存了:

1)_guard_check_icall的函数地址
2)CFGBitmap表的RVA,这里面是该程序的每个函数的RVA转换成1bit的值,制作成的一个CFGBitmap表
3)CFGBitmap中函数的数量

假设目标函数地址为:0x01321380

二进制表示为:
0000 0001 0011 0010 0001 0011 1000 0000

通过对目标地址右移8位,获取高3字节的值: 0x13213(0x01321380 >> 8 )
通过对目标地址右移3位,再取5位的值作为结果:0x264270(0x01321380 >> 3)

0x264270的二进制表示为:
0000 0000 0010 0110 0100 0010 0111 0000

取前5位作为offset:
1 0000

也就是等于对原目标函数地址的二进制位取前4-8位:
0000 0001 0011 0010 0001 0011 1000 0 000

等于16进制的0x10,10进制的16
在这里插入图片描述

现在我们得到两个值,一个是 0x132130x10

假设CFGBitmap的基址+0x13213*4 的位置取4字节内容是0x11010044

这个值就是对应目标函数的CFGBitmap,它的二进制位表示为:
0x11010044 = 0001 0001 0000 0001 0000 0000 0100 0100

在二进制位的第16位的位置,因为是从0开始数,也就是第17位:
0001 0001 0000 000 1 0000 0000 0100 0100

判断这一位是否为1,如果为1,就说明目标函数地址有效。否则产生异常。

通过IDA查看nt!LdrpValidateUserCallTarget函数:
在这里插入图片描述

FFE4
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Windows MVSC编译器实现Xtended Flow Guard(XFG)保护机制的原理分析
systemino的博客
11-24 3000
一、前言 近期,微软正在开发Xtended Flow Guard(XFG),这是Control Flow Guard(控制流防护,CFG)的演进版本,作为其自身的控制流完整性实现。XFG通过不同类型函数原型的哈希值,限制间接控制流的转移。在这篇文章中,深入讨论了MSVC编译器是如何生成XFG函数的原型哈希值。 二、概述 2014年,微软推出了名为“Control Flow Integrity”(控制流防护,CFG)的控制流完整性(CFI)解决方案。在此前,已经有很多研究人员对CFG展开了广泛的研究。随
Win10安全特性之执行流保护
PCMGR_Tencent的专栏
02-04 6942
微软在2015年1月22日公布了windows10技术预览版,Build号:9926。电脑管家团队第一时间对其引入的新安全特性进行了深入分析。 众所周知,漏洞利用过程中攻击者若要执行恶意代码,需要破坏程序原有指令的的正常执行。执行流保护的作用就是在程序执行的过程中检测指令流的正常性,当发生不符合预期的情况时,及时进行异常处理。业界针对执行流保护已经有一些相对成熟的技术方案,在微软发布的windo
CVE-2021-26411在野样本中利用RPC绕过CFG缓解技术的研究
further_eye的博客
04-29 1131
CVE-2021-26411在野样本中出现了利用RPC绕过CFG缓解技术的这一创新方法。这种利用方法无需构造ROP链,直接通过伪造RPC_MESSAGE即可实现任意代码执行,利用简单且稳定,有理由相信该方法会成为绕过CFG缓解措施的一种新的有效利用技术。
cfg文件解码和生成.rar
06-03
cfg文件解码和生成.rar 有兴趣试试。
Windows 10的CFG机制
weixin_34018202的博客
11-22 830
Windows 10的CFG机制 http://bobao.360.cn/learning/detail/3500.html 利用Chakra JIT绕过DEP和CFG http://www.freebuf.com/articles/system/89616.html 绕过Windows 10的CFG机制 http://www.freebuf.com...
关于CFG的研究
sxr__nc的博客
04-03 1430
关于CFG的研究 CFG(Control Flow Guard)控制流防护,是微软在Windows8.0以及Windows10上推出的新的防护机制 防护点在于,防护间接调用,防止在程序间接调用函数的时候,使用恶意代码进行替换,导致执行恶意程序。CFG的实现机制在于每当存在间接调用的函数的时候,就会先去判断一下间接调用的地址处是不是一个有效的函数的起始地址。主要关注缓解间接调用和调用不可靠目标的问题(在没有CFG支持的Windows中,这个函数不做任何事。在Windows 10中,有了CFG的支持,它指向nt
ThinkPHP实现生成和校验验证码功能
12-20
在开发Web应用时,验证码是一种常见的安全机制,用于防止恶意自动化的机器人或脚本进行非法操作,例如批量注册、频繁登录尝试等。ThinkPHP作为一款流行的PHP开发框架,提供了便捷的方式来实现验证码的生成与校验。...
S7-200 PLC与S7-1200 PLC串口通信实时性分析.pdf
08-08
《S7-200 PLC与S7-1200 PLC串口通信实时性分析》 在现代工业自动化领域,可编程逻辑控制器(PLC)是不可或缺的控制设备。西门子的S7系列PLC以其高效稳定的表现,广泛应用于各种控制系统。本文主要探讨的是S7-200 ...
NIXWARE-CSGO-1.0 (1)_csgoc++hvh_
09-30
6. **反作弊机制**:HvH模式下的游戏往往对公平性要求极高,因此源码中可能包含了防止作弊的机制,如检测异常行为、校验数据完整性等。 7. **游戏接口**:NIXWARE-CSGO-1.0可能使用了Valve的Source Engine SDK,...
单片机TCP误码检测软件
06-16
4. **配置文件**:`.cfg`文件通常用于存储软件的配置参数,可能包括TCP连接的设置,如IP地址和端口号。 5. **源代码文档**:`误码率测试源代码.docx`可能是项目的源代码说明文档,详细解释了数据传输和误码率计算的...
我的SSH框架实例.rar
08-02
它通过Action类和配置文件定义了请求到特定方法的映射,同时提供了拦截器机制来增强功能,如数据校验、事务管理等。在Struts2中,视图通常是JSP页面,模型则由JavaBean或自定义业务实体类实现。 Spring框架则是一个...
分析及防护:Win10 执行流保护绕过问题
嬴政
08-07 4169
原文地址:http://www.panshy.com/articles/201508/security-2512.html Black Hat USA 2015正在进行,在微软安全响应中心公布的最新贡献榜单中,绿盟科技安全研究员张云海位列第6位,绿盟科技安全团队(NSFST)位列28位,绿盟科技 安全团队(NSFST)常年致力于发现并解决计算机以及网络系统中存在的各种安全缺陷。这篇《Wind
分析及防护:Win10执行流保护绕过问题
weixin_34179968的博客
03-08 522
绿盟科技 · 2015/08/07 18:44Black Hat USA 2015正在进行,在微软安全响应中心公布的最新贡献榜单中,绿盟科技安全研究员张云海位列第6位,绿盟科技安全团队(NSFST)位列28位,绿盟科技安全团队(NSFST)常年致力于发现并解决计算机以及网络系统中存在的各种安全缺陷。这篇《Windows 10执行流保护绕过问题及修复》是团队在此次大会上分享的主要内容0x00 Con...
沙盒逃逸编年史:对CVE-2019-0880漏洞的深入分析
systemino的博客
09-02 539
0x01 漏洞分析 这篇文章描述了splwow64.exe中的一个可利用的任意指针取消引用漏洞。此漏洞可以从Internet Explorer渲染器进程触发,并允许沙盒逃逸。 该漏洞允许通过将特定的LPC消息制作到splwow64.exe进程,从而从低完整性进程中任意写入splwow64.exe的地址空间。 该漏洞已经在Windows 7 x64和Windows 10 x64计算机上进行了测试。 在本文中,我将描述该漏洞的位置以及如何利用该漏洞从Internet Explorer沙盒中实现完整的沙盒
CFI/CFG 安全防护原理详解
pwl999的博客
12-18 8952
文章目录1. 简介1.1 控制流攻击历史1.2 CFI的基本概念1.3 CFI发展历史2. Orig CFI2.1 Windows CFG的实现3. CCFIR4. VTV5. Kernel CFI5.1 forward-edge protection CFI(Control-Flow Integrity)5.2 backward-edge protection SCS(Shadow Call Stack)5.3 Shared library support(Cross-DSO)6. 利用硬件来提升CF
COOP绕过微软最新CFG(Control Flow Guard)
u012679087的专栏
11-16 2040
原文链接:https://bbs.pediy.com/thread-217335.htm 最新的漏洞利用开始渐渐脱离基于ROP的代码重用攻击。在过去的两年里,出现了一些关于一种新的代码重用攻击的文章,Counterfeit Object-Oriented Programming(COOP)。COOP是一种顶级的针对forward-edge的执行流完整性(CFI) 的攻击方式。
Windows x64内核学习笔记(六)—— LFENCE&CFG
qq_41988448的博客
03-09 1516
Windows x64内核学习笔记(六)—— 硬件漏洞补丁&CFG预测执行实验一:理解预测执行幽灵漏洞LFENCECFG_guard_dispatch_icall参考资料 预测执行 众所周知,CPU的运行速度是非常快的,每秒能执行百千万条指令,而指令是从哪里来的呢,当然是从内存中读取的。由于内存的运行效率低于CPU,就导致了一个问题,即CPU访问内存的速度远大于内存访问CPU的速度。 那么,应该怎么做,才能将CPU的性能尽可能利用起来呢? CPU处理一条指令大致可以分为四个阶段:读取指令、翻译指令
CFG 地址检测位图构建
inquisiter
03-07 627
目标地址 : 0x00b613a0 = ‭00000000 10110110 00010011 10100000‬ (b) 首先取高位的3个字节:00000000 10110110 00010011 = 0x00b613 那么CFGbitmap的基地址加上 0x00b613 就是指向一个字节单元的指针。 这个指针最终取到的假设是: CFGBitmap :0x10100444 = 0001 0000 0001 0000 0000 0100 0100 0100(b) 接着判断目标地址是否以0x10对齐:地址 .
CFG在编译原理中的局限性分析
因此,对于需要上下文敏感的语义规则,如类型检查和作用域分析CFG是不够的。 4. **歧义性**:某些文法可能存在多种合法的解析路径,导致解析歧义,这在编写编译器或解释器时需要特别注意,否则可能引发错误。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值