探索DrK:突破内核地址空间随机化的利器

于 2024-05-08 09:48:41 发布
阅读量371 收藏 4
点赞数 3
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gitblog_00009/article/details/138560272
版权

探索DrK:突破内核地址空间随机化的利器

1、项目介绍

在信息安全的战场上,DrK(De-randomizing Kernel ASLR)攻击是一个令人瞩目的创新。这个开源项目旨在揭示一种利用TLB(Translation Lookaside Buffer)和解码后的i-cache侧信道来破坏内核地址空间布局随机化(KASLR)的技术。DrK巧妙地利用了Intel TSX(Transactional Synchronization Extension)的一个未被广泛认知的行为,即当交易因关键错误如页故障或访问违规而失败时,TSX不会通知底层内核。这一特性被转化为一个精确的定时通道,使攻击者能够确定特权内核地址空间的映射状态和执行状态。

2、项目技术分析

DrK的核心在于其对硬件层面行为的理解与利用。它通过Intel TSX创建了一个无痕迹的定时通道,该通道几乎可以以秒速准确地破解Windows、Linux和OS X等主流操作系统上的KASLR。此外,由于操作是在硬件级别进行,即使在虚拟化环境中,DrK也能生效且难以被检测到。

3、项目及技术应用场景

DrK技术的应用场景主要体现在安全研究和漏洞挖掘上。它可以作为测试系统安全性、评估KASLR保护效能的工具,帮助研究人员发现并修复潜在的安全隐患。此外,对于那些想要了解现代计算机体系结构中的安全挑战的人来说,DrK提供了一个独特的实践平台。

4、项目特点

  • 普适性:DrK适用于所有操作系统,包括虚拟环境。
  • 高精度:能在一秒钟内近乎完美地突破KASLR。
  • 隐形:在实际运行中不产生可见的痕迹,使得检测难度加大。
  • 直观演示:提供了视频示例,方便用户理解其工作原理。
  • 易于构建:只需简单运行make命令即可完成项目构建。

为了深入了解DrK的工作机制及其影响,请参阅提供的论文Black Hat USA的演讲视频。此外,项目还提供了详细的构建指南和演示脚本,以便您亲自体验DrK的强大功能。

贡献者列表

DrK的GitHub仓库是获取最新代码和信息的主源,欢迎有兴趣的开发者和研究者探索、学习以及贡献力量。

乌芬维Maisie
关注
  • 3
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
linux内核地址随机-kaslr
yiduoxiaoxx的博客
02-27 4700
未开启内核地址随机 Virtual kernel memory layout: modules:0xffffff8000000000 - 0xffffff8008000000 (128MB) vmalloc: 0xffffff8008000000 - 0xffffffbebfff0000 (250GB) .text: 0xffffff8008080000 - 0xffffff80...
drk:Linux 内核的动态检测
06-22
DRK:DynamoRIO 作为 Linux 内核模块 彼得·费纳 2013 年 11 月 17 日 介绍 DRK 是 DynamoRIO 作为可加载的 Linux 内核模块。 当加载 DRK 时,所有内核模式执行(系统调用、中断和异常处理程序、内核线程等)都在 DynamoRIO 的权限范围内发生,而用户模式执行未受影响——与正常的 DynamoRIO 相反,它检测用户——模式进程并且不涉及内核模式执行。 先决条件 尽管原则上 DRK 应该适用于任何 Linux 内核,但实际上您最好使用 Ubuntu 的 2.6.32-33-generic,它随 Ubuntu 10.04 一起提供。 这种耦合源于 DRK 使用一些非导出的内核接口来查看符号并获取内核的内存布局。 通过对 kernel_linux/kernel_interface.c 的一些破解,您应该能够让 DRK 与其他内核版本一起工
Linux地址空间随机
最新发布
至虛極,守靜篤
11-29 479
ASLR(Address Space Layout Randomization)在2005年被引入到Linux的内核 kernel 2.6.12 中,早在2004年就以补丁的形式引入。内存地址随机,意味着同一应用多次执行所使用内存空间完全不同,也意味着简单的缓冲区溢出攻击无法达到目的。
Linux内核地址空间随机ASLR的几种实现方法
tugouxp的专栏
02-01 4317
ASLR(Address Space Layout Randomization)在2005年被引入到Linux内核kernel 2.6.12中。地址空间随机内核中有多种实现和表现方式,下面分别介绍。
KASLR内核地址随机
小吕的博客
11-13 816
1、内核启动时进入实模式,实模式下初始一些内核需要的环境然后进入到start开始进入保护模式,保护模式这边才会涉及到kaslr,也就是对于vmlinux的一个随机,vmlinux是真正的内核elf文件 2、实模式寻址方式是段寄存16位段地址和偏移地址的一个计算。 保护模式是上面的段寄存器到GDT的一个操作,然后GDT通过mmm到实际的一个物理地址。 ...
内核地址空间布局随机(KASLR)恢复软件-C/C++开发
05-27
KASLRfinder摘要:KASLRfinder是一个小型实用程序,可用于查找Windows 10内核及其驱动程序在内存中的加载位置-尽管地址已通过内核地址空间布局随机进行了随机(KASLRfinder摘要:KASLRfinder是一个小型实用程序,可以将Windows 10内核及其驱动程序用于查找Windows 10内核及其驱动程序在内存中的加载位置-尽管地址已通过内核地址空间布局随机(KASLR)进行了随机该实用程序可以作为常规程序运行,并且不需要管理特权。事务同步扩展(TSX)块中失败指令的执行时间TSX最初是在基于Haswell的CPU中引入的;但是
DRK:Een论坛系统
02-21
"DRK:Een论坛系统"是一个基于网络的社区交流平台,主要由前端界面和后端服务构成。这个系统的设计和开发可能涉及到多种技术栈,其中包括我们标签中提到的CSS(层叠样式表)。CSS是网页设计的重要组成部分,用于定义...
p2pool-drk:暗币的p2pool,http
05-11
要求: 通用的: Vertcoin> = 0.8.5 Python> = 2.6 扭曲> = 10.0.0 python-argparse(适用于Python = 2.6) Linux: sudo apt-get install python-zope.interface python-twisted python-twisted-web ...
drk-in::crab:| Rust实用程序库
03-29
>>>>>> f2f16d69b60423d262d9495d0be3cfb0d291008d主use drk-in::*;官方文件 :briefcase: :sparkling_heart:我为什么做 :sparkles: 为了娱乐 :eyes: 个人使用 :man::laptop:执照 :bookmark_tabs: (c)2021年法比奥...
docker-darkcoin:Docker的暗币
06-25
5werk/暗币 5werk / darkcoin是一个简单的容器操作 masternodes。 套房包括: 名为容器用于在主机上安装或升级容器的脚本以及有关如何设置主节点的基本分步查看上的项目。... 所有 DRK 将用于运营流动性提供者! 谢谢
linux 内核地址随机,GNU/Linux内核地址随机
weixin_39557797的博客
04-29 97
地址空间布局随机(ASLR)是一项增加安全性的技术,攻击者发现漏洞之后开始编写exploit时如果要考虑绕过ASLR这会增加编写exploit的难度,最早是2001年Grsecurity社区(强悍的社区,直到今天还在为各种各样的加固为自由软件安全社区作出持续而杰出的贡献)针对GNU/Linux的PaX补丁中出现,后来GNU/Linux内核对用户态地址随机的支持在2005年的2.6.12版本合并...
LWN:细粒度的KASLR(内核地址空间随机)!
Linux News搬运工
03-04 651
关注了就能看到更多这么棒的文章哦~Finer-grained kernel address-space layout randomizationByJake EdgeFebruary ...
开启内核地址随机KASLR后, qemu 调试 kernel 不能设置断点
OSKernelLAB(gatieme)
02-11 5567
#1 问题: gdb 断点异常 这几天更新了 qemu, 然后在进行 gdb 调试的时候, 发现断点断不住了. 之前都是正常的, 从来没有出现过这种情况啊. 继续分析下看看是哪里出现的异常. #2 原因分析 难道是 gdb 或者 QEMU 出现 BUG 了, 我们先看下断点的位置是否正确. vmlinux 中符号的地址(gdb插入断点的位置) gdb 是直接读取 vmlinux ...
GNU/Linux内核地址随机
weixin_34249678的博客
04-19 194
地址空间布局随机(ASLR)是一项增加安全性的技术,***者发现漏洞之后开始编写exploit时如果要考虑绕过ASLR这会增加编写exploit的难度,最早是2001年Grsecurity社区(强悍的社区,直到今天还在为各种各样的加固为自由软件安全社区作出持续而杰出的贡献)针对GNU/Linux的PaX补丁中出现,后来GNU/Linux内核对用户态地址随机的支持在2005...
linux 内核地址随机,关闭Linux 内存地址随机机制
weixin_35513425的博客
04-29 1199
关闭Linux 内存地址随机机制, 禁用进程地址空间随机.可以将进程的mmap的基址,stack和vdso页面地址固定下来. 可以通过设置kernel.randomize_va_space内核参数来设置内存地址随机的行为.目前randomize_va_space的值有三种,分别是[0,1,2]0 - 表示关闭进程地址空间随机。1 - 表示将mmap的基址,stack和vdso页面随机。2...
linux arm64 nokaslr内核起始地址随机
shenhuxi_yu的专栏
04-09 2769
arm64 linux 支持内核起始地址随机kallsymbols 得到的符号地址大都是编译阶段就可以决定的,决定于lds链接obj文件的顺序,编译生成obj时会把不同类型的变量放到固定的section内,如下实例 编译环境是cygwin64下的gcc:uboot 命令:addboot nokaslrlinux 命令: echo 1 > /proc/sys/kernel/kptr_rest...
Linux下关闭ASLR(地址空间随机)的方法
热门推荐
counsellor的专栏
08-14 2万+
0x00 背景知识 ASLR(Address Space Layout Randomization)在2005年被引入到Linux的内核 kernel 2.6.12 中,当然早在2004年就以patch的形式被引入。随着内存地址随机,使得响应的应用变得随机。这意味着同一应用多次执行所使用内存空间完全不同,也意味着简单的缓冲区溢出攻击无法达到目的。 GDB从版本7开始,第一次在Ubuntu ......

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

乌芬维Maisie

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值