伪造返回地址绕过CallStack检测以及检测伪造返回地址的实践笔记

最新推荐文章于 2024-04-14 09:45:00 发布
最新推荐文章于 2024-04-14 09:45:00 发布
阅读量5.3k 收藏 8
点赞数
分类专栏: windows底层核心編程 文章标签: hook c patch exe byte 测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iiprogram/article/details/2050668
版权
Author:[CISRG]KiSSinGGer
E-mail:kissingger@gmail.com
MSN:kyller_clemens@hotmail.com

题目有点搞......Anti-CallStack Check and Anti-Anti-CallStack Check...(;- -)

发现最近MJ0011的“基于CallStack的Anti-Rootkit HOOK检测思路”和gyzy的“基于栈指纹检测缓冲区溢出的一点思路”两篇文章有异曲同工之妙。
两者都通过检测CallStack中的返回地址来做文章。
最近在初步学习一些AntiRootkit技术,这两个不得不吸引我的眼球。

按照MJ0011大侠的逻辑,从Rootkit Detector的Hook点向上检测CallStack.
但是CallStack里面都是些DWORDs,怎么判断哪儿是参数,哪儿是返回地址呢?
我Goo了两把...普遍是用EBP回溯的方式.
考虑大部分的__stdcall的形式:
mov     edi edi
push     ebp
mov     ebp esp
...
...
我们从dword ptr [EBP]里面可以获得上个call的EBP,dword ptr [EBP+4]里面获得需要检测的返回地址,然后EBP = dword ptr [EBP],继续找下去.找到栈基址为止.
每次得到的返回地址,判断一下它是否在一个合法的模块中.

但是,根据gyzy大侠的<编写绕过卡巴主动防御的Shellcode>一文启示,我们可以知道如下一种方式,可使这样的检测方式失效.

1.在合法的系统模块里(e.g. ntoskrnl.exe),找到一个'C3'(ret Opcode)字节,它的指针是K.
2.使用如下方式的Hook函数

HookedZwXxx(...)
{
    //
    // 一些参数处理操作
    //
    
    jmp  __pushrealretaddr
    __trickstage:
    
    push     Arg[N]
    push     Arg[N-1]
    ...
    push  Arg[0]
    
    push     K
    jmp     ZwXxx; //调用原始函数
    
    __pushrealretaddr:
    call     __trickstage
    
    realretaddr:
    
    //
    //  另一些结果处理操作
    //    
}

这样,在ZwXxx深处检查调用栈,dword ptr [EBP+4]是一个处于合法模块中的地址K.

我写了一个如下的ring3示例程序.

定义如下一些函数:
int __stdcall Call_C(int a, int b)
{
    check_callstack();
    return a+b;
}

int __stdcall Call_B(int a, int b)
{
    return Call_C(a,b);
}

int __stdcall Call_A(int a, int b)
{
    return Call_B(a,b);
}

调用次序是A->
最低0.47元/天 解锁文章
iiprogram
关注
  • 0
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
二、C++反作弊对抗实战 (进阶篇 —— 11.利用ebp返回地址检测非法call函数调用)
Koma的主页
03-04 770
这个示例代码已经介绍了如何利用ebp来检测上层的非法call调用,实际上在真正的反作弊场景上,我们肯定不会只检测一层的,会检测很深的层次,当然有个弊端就是检测层次越深,误报就极有可能越多,这里就特别需要配合游戏流程与架构......
防破解_call栈帧检测
zhaokino的博客
03-20 1645
call栈帧检测,检测目标函数的返回地址,防止目标函数被hook,可用于软件防破解全程伪代码讲解知识点1 函数的返回地址所在范围----------通常,call一个函数会形成一个栈帧,例如:void msg()//无参call{信息框("我是信息框")}void msg1(整数型 句柄,文本型 标题,文本型 内容,整数型 类型)//有参call{信息框(句柄,标题,内容,类型)}不管有参还是无参...
基于CallStack的反Rootkit HOOK检测
02-22 1315
Anti-Rootkit目前扫描Hook的方法主要有以下几种:   1.对抗inline -hook ,IAT/EAT Hook   Anti-Rootkit使用读取磁盘上系统文件并将之进行map\重定位后,同内存中的代码进行对比的方法来检测inline hook(或EAT/IAT HOOK,后同),类似的工具例如Rootkit Unhooker, gmer, Icesword等等。
syscall的检测绕过(下)
星星我啊,已经很努力在学习了, 有人一起学习吗?Ziansec-1
04-14 354
此时你的流程是主程序模块->kernel32.dll->ntdll.dll->syscall,这样当0环执行结束返回3环的时候,这个返回地址应该是在ntdll所在的地址范围之内。syscall也可以不直接写写死在文件种,比如先用垃圾指令写死在文件中,然后在运行的时候对这些垃圾指令进行修改重新为syscall,达到静态绕过的效果。此时当ring0返回的时候,rip将会是你的主程序模块内,而并不是在ntdll所在的范围内,这点是很容易被检测也是比较准确的一种检测方式。当你正常的程序使用系统调用的时候。
简单之检测函数返回地址是否合法(控制流防护的缺陷)
liuqian134的专栏
11-02 509
#include "stdafx.h" #pragma pack(1) typedef struct _FUNCTION_RETURN_INFO { ULONG_PTR lEspAddress; ULONG_PTR lReturnAddress; } FUNCTION_RETURN_INFO, *PFUNCTION_RETURN_INFO; #pragma pack() static
返回地址的问题
raddle60的专栏
03-11 516
在管理页面新增和编辑记录是,经常要在保存之后返回到管理页面一个常用的方法是把当前管理页面的url(用get提交,包含了所有查询条件)传给新增编辑页面,在完成之后通过这个url返回原来的页面 如果用后台的request对象拼url,可能会被前端的apache或其他的服务器做了rewrite而得不到当初的url一个比较简单方便的方法是用js或的当前url,可以避免获得被rewrited
绕过__chkesp堆栈检查
lixiangminghate的专栏
06-23 2653
前面很多注入相关的文章中都提到为了保证注入后原始程序能恢复正常的执行流,需要在编译器中关闭堆栈检查。作为解决问题,这是个好手段,但是不得不说这是回避问题,不是解决问题。本文旨在解决这个问题。     __chkesp,顾名思义,检查esp的值,检查失败就抱错。什么时候esp会出错?情况很多,如果排除缓冲区溢出的可能,那还有堆栈失衡的情况。比如不正常的退出函数方式。 我经常遇到的不正常退出函数引
SY3_检测进程的虚拟地址空间_
09-29
本文将深入探讨如何检测进程的虚拟地址空间,并解释相关知识点。 首先,我们要理解什么是虚拟地址空间。在x86-64架构下,每个进程的虚拟地址空间通常被分为以下几个区域: 1. **文本段(Text Segment)**:包含...
Zigbee无线传感网络甲醛检测系统
最新发布
07-02
甲醛检测系统主要设计zigbee技术和wifi技术。CC2530协调板通过Z-Stack协议建立zigbee的无线通信,组成各种网络拓扑结构,当终端节点发送收集的数据时,通过网络号信道号进行数据的传输给到协调板。一个星型结构的...
理解Django 中Call Stack机制的小Demo
09-16
主要介绍了理解Django 中Call Stack 机制的小Demo,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Android下各语言加callStack示例
03-22
在Android系统中,理解和分析调用堆栈(call stack)对于开发者来说至关重要,尤其是在调试和性能优化时。本文将深入探讨如何在Android环境下为不同语言(C语言、C++、Java以及内核空间)添加并打印调用堆栈信息。 ...
wazuh-webshell检测规则
12-20
Wazuh的检测规则基于Elasticsearch的Elastic Stack,利用Logstash进行日志采集和过滤,Kibana用于可视化展示,以及Beats作为轻量级数据传输工具。Webshell检测规则是Wazuh Manager中的一系列配置,它们通过匹配日志...
更改函数的返回地址
吾爱机电的博客
10-02 724
这是网络安全老师布置的实验,觉得是大学以来做过的最有意思的一个实验。 Task Description: C语言编写程序,包含一个函数,改变函数的返回地址,使函数返回后跳转到某个指定的指令位置,而不是函数调用后紧跟的位置。 先上代码: #include void foo(){ int a, *p; p = (int*)((int)&a + 8);
基于CallStack的Anti-Rootkit HOOK检测思路
01-18 1581
基于CallStack的Anti-Rootkit HOOK检测思路:MJ00112007-11-2th_decoder@126.comAnti-Rootkit目前扫描Hook的方法主要有以下几种:1.对抗inline -hook ,IAT/EAT HookAnti-Rootkit使用读取磁盘上系统文件并将之进行map/重定位后,同内存中的代码进行对比的方法来检测inline hook(或EAT/I
查看callstack中隐藏的代码
hslhaha的博客
05-16 672
C 伪线程三 - 自定义栈地址
ai5945fei的博客
12-30 519
接上文,据我猜测,如果栈可以自己定义地址,每个线程设置不同的栈空间,那么伪线程的局部变量也将是安全的,不会被其他线程覆盖,所以。。。。 测试代码 uint32_t stack[500]; //自定义堆栈地址 int test_fun(int param) { volatile int buff[20] = { 1, 2, 3, 4, 5, 6, 7, 8 }; return 9; } int fn() { __asm { mov eax, esp //当前栈位置保存起来 lea
ciscn_final_4(反调试+在栈上伪造堆chunk)
seaaseesa的博客
04-30 1114
ciscn_final_4 首先,检查一下程序的保护机制,没开PIE 沙箱禁用了execve,因此不能getshell,只能构造ROP来读取flag 然后,我们用IDA分析一下 Delete功能没有清空堆指针,存在UAF可以造成double free new功能可以自由控制大小 程序一开始,我们可以在栈里输入一些数据,因此,我们可以在栈里伪造一个chunk,然后利用fa...
堆栈函数返回地址的修改 堆栈溢出
eqxu的专栏
07-10 2679
这里的代码只是将返回地址改为跳过对x的赋值,如果想进一步的修改,可以将你想要跳转的函数的地址赋给这个堆栈单元//下面是版本信息。//C:/>gcc -v//Reading specs from /usr/lib/gcc/i686-pc-cygwin/3.4.4/specs//Configured with: /gcc/gcc-3.4.4/gcc-3.4.4-1/configure --ve
函数调用堆栈地址欺骗类
做一个快乐学习者
12-07 452
原始函数调用堆栈 欺骗后函数调用堆栈
Maximum call stack
01-05
"Maximum call stack"是一个错误,通常在使用递归时出现。当函数无限递归调用自身或其他函数时,调用栈会不断增长,直到达到最大限制,导致栈溢出错误。这种错误通常会显示为"RangeError: Maximum call stack size exceeded"。 解决这个问题的方法是检查递归函数的终止条件,确保递归能够在某个条件下停止。另外,还可以考虑优化递归算法,减少递归调用的次数。 以下是一个示例,演示了一个可能导致"Maximum call stack"错误的递归函数以及如何解决这个问题: ```javascript // 递归函数 function recursiveFunction() { // 终止条件 if (condition) { return result; } // 递归调用 recursiveFunction(); } // 修复递归函数 function fixedRecursiveFunction() { // 终止条件 if (condition) { return result; } // 修复递归调用 setTimeout(fixedRecursiveFunction, 0); } ``` 在修复的递归函数中,使用了`setTimeout`函数将递归调用放入事件队列中,以避免直接在调用栈中进行递归,而减少了调用栈的大小。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值