关于Safeseh

最新推荐文章于 2024-04-09 14:37:00 发布
最新推荐文章于 2024-04-09 14:37:00 发布
阅读量213 收藏 1
点赞数
文章标签: XP .net Windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hsapphire/article/details/83872950
版权
么是Safeseh

以前堆栈溢出在的WINDOWS系统中一直都是安全问题的核心,其中覆盖seh的技术早为人熟知。Safeseh是一项保护和检测和防止堆栈中的seh被覆盖而导致利用的技术。

Safeseh是VISTA的新技术吗?

Safeseh并不是VISTA的新技术,Safeseh是xp sp2就已经引入的技术。但是由于Safeseh需要.net的编译器编译的image才支持,而xp sp2系统自身所带的库和执行程序都是非.net的编译器编译的,所以使得Safeseh在xp sp2上只能成为聋子的耳朵,xp sp2下,堆栈溢出只要覆盖seh的地址就能轻松饶过所有的保护机制。因此在xp sp2时代,关于Safeseh的研究从来不被重视,甚至对他的机理研究都存在很多错误,认为Safeseh只是屏蔽了数据段的地址,只要是库函数空间地 址就是被许可的,一些Safeseh的操作被误解读成函数地址保护的操作。

为什么VISTA下Safeseh才开始发威VISTA自身带的系统库。

程序99%以上是用.net的编译器编译的,.net的编译器默认编译时候就会在 IMAGE里产生对Safeseh的支持。因此VISTA下的应用加载的系统库几乎全是带有Safeseh支持的IMAGE,堆栈溢出发生时覆盖这些支持 Safeseh模块的SEH都能被检查出来,使得覆盖堆栈中的SEH地址的技术不再可用。

Safeseh的实现过程

Safeseh本身的原理很简单,就是在编译器生成二进制IMAGE的时候,把所有合法的SEH函数的地址解析出来,在IMAGE里生成一张合法的SEH函数表,用于异常处理时候进行严格的匹配检查。基本过程如下(XP SP2和VISTA一样):

加载过程:加载IMAGE时,定位和读出合法SEH函数表的地址(如果该IMAGE是不支持Safeseh的,则这个SEH函数表的地址为0),使用shareuser内存中的一个随机数加密。

将加密的SEH函数表的加密地址,IMAGE的开始地址,IMAGE的长度,合法SEH函数的个数 作为一条记录放入ntdll的加载模块数据内存中。

异常处理过程:

根据堆栈中SEH的地址,确认是否属于一个IMAGE的地址空间。

如果属于

读取ntdll的加载模块数据内存对应的“SEH函数表的加密地址,IMAGE的开始地址,IMAGE的长度,合法SEH函数的个数"记录 读出shareuser内存中的一个随机数,解密SEH函数表的加密地址,读出真实的SEH函数表地址。

如果该地址不为0,代表该IMAGE支持Safeseh根据合法SEH函数的个数,依次计算合法合法SEH函数的地址并和当前SEH地址进行比较,如果符合执行SEH函数,如果全不符合则不执行当前SEH指定的地址,跳出不执行。

如果该地址为0,代表该IMAGE不支持Safeseh,只要该内存属于该IMAGE.code范围内的代码都可以执行。

如果不属于

检测该地址的内存特征。一般属于内核空间的未加载用户数据地址可以执行(但是其实等效于无法执行的,这块不可能加载用户数据,可能是MS为了迷惑一些研究者吧,看见代码能跳转到如0xcccccccc地址上,以为能饶过Safeseh。)

VISTA下的Safeseh的安全性

Safeseh是非常强悍的,如果一个进程加载的所有模块都是支持Safeseh的 image,覆盖seh获得利用就根本不可能。至少VISTA下99%的系统库是支持Safeseh的image。而xp sp2 99%的系统库是不支持Safeseh的image,因此Safeseh虽然是xp sp2就开始使用的技术,但应该算是在VISTA下才开始发挥作用的技术。当然如果进程存在一个不支持Safeseh的IMAGE就等于整个 Safeseh的机制失效,不过由于VISTA下支持进程空间随机技术,可以深层抵御这种情况下的seh覆盖利用。

当然一个思路是:是否可以通过覆盖shareuser内存中的随机数字和ntdll的SEH函数表的加密地址使得计算出来的SEH函数表的地址为0饶过Safeseh的保护。不过这很困难,因为要达到这个目的除非存在下面的情况:

情况A:知道shareuser内存中加密随机数,并能修改SEH加密地址,则需要知道ntdll加载的地址(随每次启动不同),且能通过漏洞获取shareuser内存中加密随机数,通过计算获得为0的加密地址再写入到SEH加密地址中。

情况B:知道SEH加密地址的数值,并能修改shareuser内存中加密随机数,则需要知道ntdll加载的地址(随每次启动不同),且能通过漏洞获取SEH加密地址的数字,通过计算获得为0的加密KEY,再写入到shareuser内存中。

情况C:需要知道ntdll加载的地址,并能够改写修改SEH加密地址和shareuser内存中加密随机数。以上3种情况都需要特定的复合条件,很难具备。

可能的问题

依然存在着一些可能的问题。

第一就是支持Safeseh需要.net的编译器支持,且程序所有加载的IMAGE都需要支持Safeseh,否则容易导致失效【www.hitidc.com】,但依然有大量的第三方程序和库不是使用.net编译的。

第二就是我使用的.net 2003只对c++的windows应用的默认编译中就支持Safeseh安全特性,在.net的应用编译中,对于运行时生成的托管代码,即使打开安全选 项也不会支持一些安全特性,不知道.net 2005或者MS是否有最新的支持VISTA的.net出来。


hsapphire
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
《0day安全》亡羊补牢:SafeSEH
weixin_50287973的博客
09-12 204
本节所有关于绕过 SafeSEH 机制的讨论均不考虑 DEP 的影响。 攻击返回地址绕过 SafeSEH 利用虚函数绕过 SafeSEH 和上一章介绍的类似,通过攻击虚函数表来劫持程序流程,这个过程不涉及任何异常处理,SafeSEH 也就只是个摆设。 从堆中绕过 SafeSEH 程序中断前刚刚完成堆中空间的申请,此时寄存器 EAX 中存放着申请空间的首地址,所以 0x328b8也就是 shellcode 的首地址 被溢出的字符串起始位置为 0x0013FE8C S.E.H 异常处理函数指针位于0x001
SafeSEH
钞sir的博客
09-27 9890
简介 safeseh是在seh的基础上进行的改进, 是异常处理的关键结构, 不同的编译器可能使用的safeseh不一样, 但是基本的思想都一样; safeseh验证 异常处理链起始位置储存在fs:[0]的位置, 在进程的DEP是开启的情况,有两种异常处理函数被异常分发器认为是有效的: 异常处理函数在进程映像的SafeSEH表中,并且没有NO_SEH标志。 异常处理函数在进程映像的可执行页,并且没有NO_SEH标志,没有SafeSEH表,没有.NET的ILonly标志。 在进程的DEP关闭的情况下
SafeSEH原理及绕过技术浅析
热门推荐
magictong的专栏
04-27 1万+
SafeSEH原理及绕过技术浅析     作者:magictong 时间:2012年3月16日星期五   摘要:主要介绍SafeSEH的基本原理和SafeSEH的绕过技术,重点在原理介绍。 关键词:SafeSEH;绕过技术;异常处理   目录 前言 SafeSEH的保护原理 (1)      二进制层面 (2)      系统层面 怎么关掉编译器的SafeSEH支持
SafeSEH基本概念+ 从堆区绕过SafeSEH学习
weixin_30628077的博客
09-09 120
SafeSEH 原理:在程序调用异常处理函数前,对要调用的的异常处理函数进行一系列的有效性检测 VS2003后续版本 默认启用的 编译器将所有的额SEH中所有的异常处理函数的值提取出来编入一张安全SEH 表 将这张表放到程序的映像中 当程序调用异常处理的时候会将函数地址与安全SEH表进行匹配 检查调用的异常处理函数是否位于安全SEH表 VS2008 命令行: 好像只有rele...
从零开始学习软件漏洞挖掘系列教程第五篇:突破SafeSeh防线1
08-03
【软件漏洞挖掘与SafeSEH】 在软件漏洞挖掘领域,了解并掌握如何绕过SafeSEH机制是一项关键技能。SafeSEH,全称为“安全异常处理”,是微软为增强系统安全而引入的一种防御措施,旨在防止攻击者通过覆盖堆栈上的异常...
PESecurity:PowerShell模块,用于检查是否已使用ASLR,DEP,SafeSEH,StrongNaming和Authenticode编译Windows二进制(EXEDLL)
03-03
用于检查Windows二进制文件(EXE / DLL)是否已通过ASLR,DEP,SafeSEH,StrongNaming,Authenticode,Control Flow Guard和HighEntropyVA编译的PowerShell脚本。 Import the module Import-Module .\Get-...
checksec:用于ASLRDEPSafeSEH检查的windbg扩展
05-18
checksec - Check modules ASLR/DEP/SafeSEH settings 0:001> .load C:\Users\debug\Desktop\checksec\Debug\checksec.dll0:001> !checksecImage Base Size ASLR DEP Safe SEH Module Name 0x00740000 0x00030000...
ExploitDev:各种ASM,C和C ++工具,shellcode和利用实验
03-30
8. **SafeSEH (Structured Exception Handler Override)**: SafeSEHWindows的一项安全特性,旨在保护异常处理链不被恶意代码篡改。在exploit开发中,需要了解如何绕过这个保护机制。 这个"ExploitDev-master...
特效代码在线生成 v2.1
10-18
"特效代码在线生成 v2.1"是一款由爱尚互联-ashl.cn开发的ASP源码程序,旨在帮助用户快速生成各种特效代码。这个程序可能还存在一些小问题,需要不断进行更新和完善,以提供更稳定和高效的服务。...
《0day安全》——亡羊补牢:SafeSEH
sunr_的博客
08-27 305
启用该链接选项后,编译器在编译程序的时候将程序所有的异常处理函数地址提取出来,编入一张安全 S.E.H 表,并将这张表放到程序的映像里面。当程序调用异常处理函数的时候会将函数地址与安全 S.E.H 表进行匹配, 检查调用的异常处理函数是否位于安全 S.E.H 表中。 攻击返回地址绕过SafeSEH 没开GS,开了SafeSEH,直接攻击函数返回地址 利用虚函数绕过SafeSEH 不涉及异常处理,SafeSEH没有参与感 从堆中绕过SafeSEH ...
栈溢出笔记1.11 SafeSEH
hustd10的博客
04-16 1046
在上节写示例的过程中,我把要用到的POP+POP+RET指令写在了自己的一个DLL中。POP+POP+RET指令是很常见的指令,一般函数的末尾都是这种形式,因此,系统DLL中应该是有该指令的,比如ntdll.dll中就有: 图73我们把上节示例中的地址改成这个地址试试,没有弹出MessageBox,说明Shellcode失效了,在调试器中看看: 图74提示说无法处理异常,说明改了地址后的
0day 第11章--11.1节:SafeSEH保护原理
I have a dream
11-01 423
@TOC 1、SafeSEH原理很简单: 在程序调用异常处理函数之前,对要调用的异常处理函数进行校验,当发现异常处理函数不可靠时停止对异常处理函数的调用。 编译器在编译程序时将程序所有的异常处理函数地址提取出来,编入一张安全的SHE表,并将这张表放到程序的映像里面。当程序调用异常处理函数时将函数地址与安全SHE表进行匹配,检查调用的异常处理函数是否在安全的SHE表中。 2、SafeSEH机制的运行...
SafeSEH 对异常处理的保护原理
重文-技艺山海经
05-14 1471
SafeSEH 对异常处理的保护原理 在 Windows XP sp2 以及之后的版本中,微软引入了 S.E.H 校验机制 SafeSEHSafeSEH 需要 OS 和 Compiler 的双重支持,二者缺一都会降低保护能力。通过启用 /SafeSEH 链接选项可心使编译好的程序具备 SafeSEH 功能(VS2003 及后续版本默认启用)。该选项会将所有异常处理函数地址提取出来,编入 S
safeseh--简略窥视
爱杀之爪的矩阵
10-25 830
asm in ntdll.dll7C94A994 3B5D F8 CMP EBX,DWORD PTR SS:[EBP-8] ; 堆栈顶部 7C94A997 ^ 0F82 79F9FFFF JB ntdll.7C94A316 7C94A99D 8D43 08 LEA EAX,DWORD PTR DS:[EBX+8] 7C94A
SafeSEH原理与对抗
whatday的专栏
10-09 6113
SafeSEH原理 在 Windows XP sp2 以及之后的版本中,微软引入了 S.E.H 校验机制 SafeSEHSafeSEH 需要 OS 和 Compiler 的双重支持,二者缺一都会降低保护能力。通过启用 /SafeSEH 链接选项可心使编译好的程序具备 SafeSEH 功能(VS2003 及后续版本默认启用)。该选项会将所有异常处理函数地址提取出来,编入 SEH 表中,并将这张表...
SEH, SAFESEH相关
weixin_34026276的博客
07-29 125
  SEH, SAFESEH相关1,触发seh异常让目标程序Read/Write无效地址,如果和栈底相邻的内存只读,尝试覆盖超出栈底2,如何找到(显示)要覆盖的SEHod语法:dd fs:[0]softice语法: dd fs:03,覆盖SEH时需要填充的跳转地址需要找一个可以跳转成功的pop ?pop ?retn 的代码地址。od语法:Ctrl+B/L 5? 5? c3softice语法:s ...
WindowsSafeSEH保护机制详解及其绕过
最新发布
WdIg-2023的博客
04-09 869
我们知道通常情况下,异常处理机制都是系统帮我们写好,编译进程序里面的,那我们如何对这些异常处理地址进行保护呢?我们想想是不是可以像前面的GS那样,我们在另一个地方保存,然后在调用异常处理的时候进行验证呢?实际上是可以的,这张表我们称之为安全S.E.H表。当程序开启了SafeSEH保护后,在编译期间,编译器将所有的异常处理地址提取出来,并且编入一张安全SEH表中,并且将这张表放到程序的映像里面。
SafeSEH Exploit——利用未启用SafeSEH的DLL
Re:Umiade.tr
03-21 560
实验内容和代码均修改自《0day安全》第二版 实验环境操作系统: Windows XP SP3 DEP关闭 EXE编译器: Visual Studio 2008 DLL编译器: VC++6.0 dll 基址设置 /base:”0x11120000” 编译选项: 禁用优化 (/0d) build版本: release版本实验原理结合之前的内容,可以了解到对于未启用
vs2022怎么开safeSEH
03-27
在Visual Studio 2022中,开启SafeSEH(Safe Structured Exception Handling)可以提高应用程序的安全性,防止恶意代码利用异常处理机制进行攻击。下面是在VS2022中开启SafeSEH的步骤: 1. 打开你的项目,在解决...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值