ASLR保护启用了吗

最新推荐文章于 2024-04-09 14:39:14 发布
最新推荐文章于 2024-04-09 14:39:14 发布
阅读量2.3k 收藏
点赞数
分类专栏: 计算机安全 文章标签: header image 脚本 terminal 测试 server
【转帖】ASLR保护启用了吗?
天易love 当前离线  添加 天易love 的声望  反映此帖
标 题:  【转帖】ASLR保护启用了吗?
作 者: 天易love
时 间: 2012-06-27,16:09:11
链 接: http://bbs.pediy.com/showthread.php?t=152688
名称: aslr.png查看次数: 388文件大小: 25.5 KB

问题:程序装载器如何知道一个可执行文件是否启用了ASLR(Address Space Layout Randomization)保护?
    许多人知道 aslr保护可以使得可执行文件的载入基址随机变化,但是程序载入器怎么知道可执行文件的ASLR保护有没有打开呢?虽然这个问题回答起来很简单,但是我确信这种判断方法也就是本帖的主题是很少能找到文字出处的。
    在PEHeader->IMAGE_OPTIONAL_HEADER结构体中有个DLLCharacteristics字段,这在程序载入器载入可执行文件时用处很大。该字段定义中有关于ASLR开启的描述,当然你还会发现有关DEP开启的定义。
    原帖作者写了个rb脚本,我测试了一下可用。
    脚本使用说明,先装个rubyinstaller-1.9.3-p194.exe,即可进行测试。
  
    脚本核心代码如图:
名称: loadDLLCharacteristicsValue.png查看次数: 386文件大小: 13.0 KB

     实现功能:从NT头偏移0x5E处取出2个字节就是该特征值了。我测试的程序a.exe是个计算器,你可以看看是不是0x8000?
 
    使用效果图:

    名称: aslr测试.jpg查看次数: 391文件大小: 43.1 KB

  附上其他定义:
typedef struct _IMAGE_OPTIONAL_HEADER {
  WORD                 Magic;
  BYTE                 MajorLinkerVersion;
  BYTE                 MinorLinkerVersion;
  DWORD                SizeOfCode;
  DWORD                SizeOfInitializedData;
  DWORD                SizeOfUninitializedData;
  DWORD                AddressOfEntryPoint;
  DWORD                BaseOfCode;
  DWORD                BaseOfData;
  DWORD                ImageBase;
  DWORD                SectionAlignment;
  DWORD                FileAlignment;
  WORD                 MajorOperatingSystemVersion;
  WORD                 MinorOperatingSystemVersion;
  WORD                 MajorImageVersion;
  WORD                 MinorImageVersion;
  WORD                 MajorSubsystemVersion;
  WORD                 MinorSubsystemVersion;
  DWORD                Win32VersionValue;
  DWORD                SizeOfImage;
  DWORD                SizeOfHeaders;
  DWORD                CheckSum;
  WORD                 Subsystem;
  WORD                 DllCharacteristics;  //关键字段
  DWORD                SizeOfStackReserve;
  DWORD                SizeOfStackCommit;
  DWORD                SizeOfHeapReserve;
  DWORD                SizeOfHeapCommit;
  DWORD                LoaderFlags;
  DWORD                NumberOfRvaAndSizes;
  IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_NUMBEROF_DIRECTORY_ENTRIES];
} IMAGE_OPTIONAL_HEADER, *PIMAGE_OPTIONAL_HEADER;


DllCharacteristics  
0x0001  Reserved.
0x0002  Reserved.
0x0004  Reserved.
0x0008  Reserved.

IMAGE_DLLCHARACTERISTICS_DYNAMIC_BASE    //  aslr    
0x0040 The DLL can be relocated at load time.

IMAGE_DLLCHARACTERISTICS_FORCE_INTEGRITY         
0x0080 Code integrity checks are forced. If you set this flag and a section contains only 

uninitialized data, set the PointerToRawData member of IMAGE_SECTION_HEADER for that section to zero; 

otherwise, the image will fail to load because the digital signature cannot be verified.

IMAGE_DLLCHARACTERISTICS_NX_COMPAT   /dep
0x0100 The image is compatible with data execution prevention (DEP).

IMAGE_DLLCHARACTERISTICS_NO_ISOLATION
0x0200 The image is isolation aware, but should not be isolated.

IMAGE_DLLCHARACTERISTICS_NO_SEH   /seh
0x0400 The image does not use structured exception handling (SEH). 
No handlers can be called in this image.

IMAGE_DLLCHARACTERISTICS_NO_BIND
0x0800 Do not bind the image.
0x1000 Reserved.
IMAGE_DLLCHARACTERISTICS_WDM_DRIVER
0x2000 A WDM driver.
0x4000 Reserved.
IMAGE_DLLCHARACTERISTICS_TERMINAL_SERVER_AWARE
0x8000 The image is terminal server aware.
上传的附件
文件类型: rar DLLCharacteristics.rar (2.4 KB, 37 次下载) [谁下载?]
lionzl
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
ASLR技术及关闭与开启
rznice的专栏
09-10 2084
ASLR技术会使PE文件每次加载到内存的起始地址随机变化,并且进程的栈和堆的起始地址也会随机改变。微软从windows vista/windows server 2008(kernel version 6.0)开始采用ASLR技术,主要目的是为了防止缓冲区溢出。 该技术需要操作系统和编译工具的双重支持(主要是操作系统的支持,编译工具主要作用是生成支持ASLR的PE格式)。 我们这里要动手关闭aslr,可以修改IMAGE_OPTIONAL_HEADER的DLL Characteristics字段,下面是DLL
aslr_什么是ASLR,它如何确保计算机安全?
culinxia2707的博客
09-04 3746
aslrAddress Space Layout Randomization (ASLR) is a security technique used inoperating systems, first implemented in 2001. The current versions of all major operating systems (iOS, Android, Windows, ...
PESecurity:PowerShell模块,用于检查是否已使用ASLR,DEP,SafeSEH,StrongNaming和Authenticode编译Windows二进制(EXEDLL)
03-03
PE安全 用于检查Windows二进制文件(EXE / DLL)是否已通过ASLR,DEP,SafeSEH,StrongNaming,Authenticode,Control Flow Guard和HighEntropyVA编译的PowerShell脚本。 Import the module Import-Module .\Get-PESecurity.psm1 Check a single file C:\PS> Get-PESecurity -file C:\Windows\System32\kernel32.dll Check a directory for DLLs & EXEs C:\PS> Get-PESecurity -directory C:\Windows\System32\ Check a directory for DLLs & EXEs recrusively
每日一记:Linux 关闭ASLR是否需要重启?
点滴的幸福
07-05 330
答案:不用重启。 想了解更多的同学继续往下看: 最近在处理Oracle问题时遇到一个因ASLR开启导致的问题。 经过查阅mos文档,建议关闭ASLR。 那么有人会问了,关闭ASLR需不需要重启服务器?生产可不能随便重启。 这里实战测试一下: ## 关闭前验证 [root@localhost ~]# ldd /bin/bash linux-vdso.so.1 (0x00007fff593a6000) libtinfo.so.6 => /lib64/libtinfo.so.6 (0x00
Windows下的ASLR保护机制详解及其绕过
最新发布
WdIg-2023的博客
04-09 1065
我们前面已经详细介绍过GS,SafeSEH,和DEP保护机制,大家想一想,如果没有开启任何保护,如果程序存在漏洞我们是不是很容易攻击成功?就算开了前面已经介绍过的保护,我们也有很容易的方法突破这些保护,进而完成攻击。那么我们再次站在开发者的角度,我们如何制定一种保护机制,从而让攻击很难完成呢?
AMI POST Code含义
易海飞雪的专栏
03-07 9036
      本文提供 AMI BIOS POST Code的含义,使用AMI BIOS的主要厂家是华硕,一般华硕主板的POST Code都可以参考此文。      以前主板的POST Code 可以插一张PCI Debug 卡来进行查看,最新的主板基本要淘汰掉PCI接口,只留PCIE接口了,但是一般会留出来 COM_debug,通过COM口也可以看POST Code,一般作为调试使用,如果POST...
去除ASLR小工具
12-26
去除ASLR保护的行为通常是为了进行软件逆向工程、调试或者安全研究。在这些情况下,固定基址可以帮助分析程序的行为,理解其内部工作原理。然而,这同样可能被恶意利用,为非法活动提供便利,因此在实际环境中禁用...
DEP与ASLR简述.rar
12-22
例如,如果一个程序没有启用DEP或者ASLR的实现不够强大,攻击者就有可能找到方法来执行恶意代码。因此,开发者应当在编写代码时考虑这些安全特性,并确保他们的应用程序支持DEP和ASLR。 在实际应用中,DEP和ASLR...
Windows内核和驱动进程保护
12-02
此外,通过使用数据执行保护(DEP)和地址空间布局随机化(ASLR)等技术,可以进一步增强系统的安全性,防止恶意代码的执行。 源代码分析是理解这些概念的关键。通过研究示例代码,开发者可以学习如何正确地实现...
从零开始学习软件漏洞挖掘系列教程第六篇:进击ASLR地址随机化1
08-03
1. 使用不受ASLR保护的模块地址:某些模块可能未启用ASLR,如静态链接的库或自定义的二进制文件。利用这些模块中的JMP ESP或POP POP RETN等地址,可以避开ASLR的影响。使用调试器的mona.py插件可以帮助查找未启用...
x64下隐藏可执行内存
12-01
因此,即使在启用ASLR的系统上,隐藏可执行内存仍然是可能的。 6. **内存混淆**:混淆技术,如控制流扁平化(CFI)、乱序执行等,可以使得内存中的代码难以理解和分析,从而达到隐藏目的。 7. **驱动程序编程**:...
关闭aslr oracle,ASLR的关闭方法
weixin_42509774的博客
04-04 488
上次XCTF-game说了之后要学习一波aslr的关闭方法,昨天看了看逆向工程核心原理,发现上面有讲解其关闭的方法,特此记录。先从pe文件重定位说起。创建好进程后,exe文件会被首先加载进imagebase指定的内存空间地址,因此不用考虑exe重定位。但是DLL和SYS文件可能因为加载几个,导致除了第一个之外其他文件加载到其他尚未占用的地址。而开启了aslr之后exe可以不加载到imagebse的...
ASLR 的关闭与开启(适用于 Windows7 及更高版本)
CuiXY's Blog
08-31 3431
ASLR 是一种针对缓冲区溢出的安全保护技术,通过对堆、栈、共享库映射等线性区布局的随机化,通过增加攻击者预测目的地址的难度,防止攻击者直接定位攻击代码位置,达到阻止溢出攻击的目的的一种技术 有的时候我们为了调试程序方便,所以必须临时关闭 ASLR,如果是 Windows XP 系统的话,可以用过修改注册表的方式关闭系统的 ASLR,但是 Windows7 却不行,必须通过安装微软的官方指定程序...
DEP&栈保护&ASLR 开启关闭
zhuoyang111的博客
06-07 6999
判断ASLR是否打开,输出2表示打开 关闭ASLR,切换至root用户,输入命令 echo 0 > /proc/sys/kernel/randomize_va_space 开启ASLR,切换至root用户,输入命令 echo 2 > /proc/sys/kernel/randomize_va_space gcc编译时,关闭DEP和栈保护,-fno-st
ASLR 在 Linux 系统效果如何?
加号减减号的博客
03-23 3144
原文链接:How Effective is ASLR on Linux Systems? 地址空间布局随机化技术(ASLR)是一种被应用在大多数现代操作系统中的漏洞利用防护技术。简单来说,ASLR 的思想就是把进程的内存空间地址给随机化,从而防止攻击者在进行漏洞利用时找到确定的函数或者 gadgets 的地址。因为对 ASLR 进行一个详细深入的解释不是本篇博文的目的,所以如果你想要对 ...
Mark一下:PE文件中的DEP和ASLR标志
a1875566250的专栏
12-27 2055
转载自:http://hi.baidu.com/lisl03/item/66b21ca7dd7f193f020a4d36 EXE文件中可选头的DllCharacteristics标志可以决定这个EXE文件是否使用DEP\ASLR技术,定义为: IMAGE_DLLCHARACTERISTICS_DYNAMIC_BASE 0x40 -> ASLR IMAGE_DLLCHARACTERISTICS
PE文件结构详解(二)可执行文件头
zdwcmy的专栏
06-17 327
在PE文件结构详解(一)基本概念里,解释了一些PE文件的一些基本概念,从这篇开始,将详细讲解PE文件中的重要结构。 了解一个文件的格式,最应该首先了解的就是这个文件的文件头的含义,因为几乎所有的文件格式,重要的信息都包含在头部,顺着头部的信息,可以引导系统解析整个文件。所以,我们先来认识一下PE文件的头部格式。还记得上篇里的那个图吗? DOS头和NT头就是PE文件中两个重要的文件头。 一、DOS头 DOS头的作用是兼容MS-DOS操作系统中的可执行文件,对于32位PE文件来说,DOS所起的作用就是
CVE-2017-11882 Office漏洞
sxr__nc的博客
03-16 789
简介 CVE-2017-11882属于缓冲区溢出类型漏洞,造成漏洞的原因是,EQNEDT32.EXE(微软office自带公式编辑器)进程在读入包含MathType的ole数据时,在拷贝公式字体名称(Font Name数据)时没有对名称长度进行校验,导致缓冲区溢出。通过覆盖函数的返回地址,可执行任意代码。 深究其中的具体原因还要对ole文件的数据格式进行了解: ole文件的数据格式 ...
如何查看程序是否支持ASLR
thesum的专栏
04-28 1230
使用工具PE EXPLOER打开,查看DllCharacteristics是否包含0x40就可以知道是否支持ASLR
突破浏览器内存保护技术
他们可能会讨论如何通过精心构造的攻击来规避GS的保护,如何绕过SafeSEH的验证,以及如何在DEP启用的情况下执行恶意代码。此外,他们还会讨论ASLR的局限性,如库加载顺序漏洞、固定地址的漏洞以及如何预测随机化的...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值