Windows DWrite 组件 RCE 漏洞 (CVE-2021-24093) 分析

最新推荐文章于 2024-04-02 16:26:56 发布
最新推荐文章于 2024-04-02 16:26:56 发布
阅读量651 收藏
点赞数
文章标签: 安全 javascript 嵌入式 html js
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/smellycat000/article/details/118214718
版权

 聚焦源代码安全,网罗国内外最新资讯!

概述

Windows图形组件DWrite库存在数组越界写漏洞 (CVE-2021-24093),可导致远程代码执行。

当DWrite库解析恶意构造的字体文件时,计算内存分配长度时出现错误,触发越界写,而且字体文件中的数据能够越界写入到任意位置,使攻击者可以做到RCE。

背景知识

TrueType (Free Library)字体通常包含在单个TrueType字体文件中,其文件后缀为.TTF。文件开头是 TableDirectory 结构,TTableDirectory 结构的最后一个字段是可变长度的 TableEntry 结构的数组。TrueType 字体中的所有数据都使用 big-endian 编码。

TrueType字体目录的c语言定义:

typedef sturct
{
  char tag[4];
  ULONG checkSum;
  ULONG offset;
  ULONG length;
}TableEntry;


typedef struct
{
  Fixed sfntversion; //0x10000 for version 1.0
  USHORT numTables;
  USHORT searchRange;
  USHORT entrySelector;
  USHORT rangeShift;
  TableEntry entries[1];//variable number of TableEntry
}TableDirectory;

通过 010 Editor 编辑器打开poc.ttf文件,可以清楚的看到 ttf 文件的结构。

重点关注 maxp 表中的 maxPoints 字段和 maxCompositePoints,可以看到它们的值分别为0和3,它们相对于maxp表起始地址的偏移值分别为6和10。

复现

获取 PoC 后,将 poc.html 和 poc.ttf 放到同一目录,双击打开 poc.html 文件。

PoC 地址:

https://packetstormsecurity.com/files/161582/Microsoft-DirectWrite-fsg_ExecuteGlyph-Buffer-Overflow.html

点击OK,加载 poc.ttf 字体文件。浏览器渲染进程崩溃。

用 windbg 定位崩溃点。在第2步点击OK之前,将windbg工具attach到6768进程上。

如何确定进程6768是chrome当前渲染进程呢?可以借助procexp64.exe工具。

继续执行,在DWrite!fsg_ExecuteGlyph+0x72c位置触发内存访问违例,代码 “add word ptr [r8+56h],ax” 引用了一个非法地址。

此时的调用栈为:

# Child-SP          RetAddr               Call Site
00 00000095`37bfa1c0 00007ffd`4c107e92     DWrite!fsg_ExecuteGlyph+0x72c
01 00000095`37bfa2f0 00007ffd`4c107ac3     DWrite!fsg_CreateGlyphData+0x12e
02 00000095`37bfa3b0 00007ffd`4c1072d9     DWrite!fsg_GridFit+0xbb
03 00000095`37bfa440 00007ffd`4c105d72     DWrite!fs__Contour+0x1c1
04 00000095`37bfa530 00007ffd`4c105b57     DWrite!TrueTypeRasterizer::Implementation::RasterizeInternal+0xfa
05 00000095`37bfa570 00007ffd`4c105aa4     DWrite!TrueTypeRasterizer::Implementation::GetBitmapInternal+0x2f
06 00000095`37bfa5d0 00007ffd`4c1f0f2e     DWrite!TrueTypeRasterizer::Implementation::GetBitmap+0x30
07 00000095`37bfa640 00007ffd`4c198122     DWrite!TrueTypeRasterizer::Implementation::GetMetrics+0x7a
08 00000095`37bfa740 00007ffd`4c119e35     DWrite!TrueTypeFontMetricsBuilder::GetGlyphMetrics+0x68722
09 00000095`37bfa820 00007ffd`4c1199a8     DWrite!DesignGlyphMetricsRasterizationState::RasterizeGlyph+0x45
0a 00000095`37bfa890 00007ffd`4c12f614     DWrite!GlyphDataElement<DesignGlyphMetricsLayout,DesignGlyphMetricsRasterizationParameters,DesignGlyphMetricsRasterizationState>::AddGlyphs+0x148
0b 00000095`37bfaa70 00007ffd`4c12f1ff     DWrite!GlyphDataElement<DesignGlyphMetricsLayout,DesignGlyphMetricsRasterizationParameters,DesignGlyphMetricsRasterizationState>::GetGlyphData+0x274
0c 00000095`37bfaba0 00007ffd`4c12dd20     DWrite!FontFace::GetDesignGlyphMetrics+0xaf
0d 00000095`37bfac90 00007ffd`28bea88a     DWrite!DWriteFontFace::GetDesignGlyphMetrics+0xc0
0e 00000095`37bfad10 00007ffd`28bea4e6     chrome!ChromeMain+0x2f59ea
0f 00000095`37bfadd0 00007ffd`28bea15f     chrome!ChromeMain+0x2f5646
10 00000095`37bfaea0 00007ffd`292f746e     chrome!ChromeMain+0x2f52bf
11 00000095`37bfafc0 00007ffd`292f7975     chrome!ovly_debug_event+0x2cca5e
12 00000095`37bfb030 00007ffd`28be9fdd     chrome!ovly_debug_event+0x2ccf65
13 00000095`37bfb0c0 00007ffd`28be9bf8     chrome!ChromeMain+0x2f513d
14 00000095`37bfb140 00007ffd`2e4b9f11     chrome!ChromeMain+0x2f4d58
15 00000095`37bfb380 00007ffd`2d52b28c     chrome!VR_GetStringForHmdError+0x1c0bce1
16 00000095`37bfba60 00007ffd`2947abb9     chrome!VR_GetStringForHmdError+0xc7d05c
17 00000095`37bfbaa0 00007ffd`28c34741     chrome!ovly_debug_event+0x4501a9
18 00000095`37bfbba0 00007ffd`28c27cbb     chrome!ChromeMain+0x33f8a1
19 00000095`37bfbc00 00007ffd`2e6d73b5     chrome!ChromeMain+0x332e1b
1a 00000095`37bfbc70 00007ffd`2e6d89cd     chrome!VR_GetStringForHmdError+0x1e29185
1b 00000095`37bfbeb0 00007ffd`2d70ae8b     chrome!VR_GetStringForHmdError+0x1e2a79d
1c 00000095`37bfbfd0 00007ffd`2d70a96f     chrome!VR_GetStringForHmdError+0xe5cc5b
1d 00000095`37bfc3b0 00007ffd`2d70dad0     chrome!VR_GetStringForHmdError+0xe5c73f
1e 00000095`37bfc420 00007ffd`2e521ab3     chrome!VR_GetStringForHmdError+0xe5f8a0
1f 00000095`37bfc480 00007ffd`2e522318     chrome!VR_GetStringForHmdError+0x1c73883
20 00000095`37bfc4e0 00007ffd`2eef5404     chrome!VR_GetStringForHmdError+0x1c740e8
21 00000095`37bfc550 00007ffd`2e52380f     chrome!VR_GetStringForHmdError+0x26471d4
22 00000095`37bfc5e0 00007ffd`2e51dc86     chrome!VR_GetStringForHmdError+0x1c755df
23 00000095`37bfc8e0 00007ffd`2eefb204     chrome!VR_GetStringForHmdError+0x1c6fa56
24 00000095`37bfca90 00007ffd`2eef59e6     chrome!VR_GetStringForHmdError+0x264cfd4
25 00000095`37bfcbf0 00007ffd`2eef541b     chrome!VR_GetStringForHmdError+0x26477b6
26 00000095`37bfcdf0 00007ffd`2e52380f     chrome!VR_GetStringForHmdError+0x26471eb
27 00000095`37bfce80 00007ffd`2e51dc86     chrome!VR_GetStringForHmdError+0x1c755df
28 00000095`37bfd180 00007ffd`2eede763     chrome!VR_GetStringForHmdError+0x1c6fa56
29 00000095`37bfd330 00007ffd`2eed8540     chrome!VR_GetStringForHmdError+0x2630533
2a 00000095`37bfd3c0 00007ffd`2d93e4e0     chrome!VR_GetStringForHmdError+0x262a310
2b 00000095`37bfd420 00007ffd`2d95f7dd     chrome!VR_GetStringForHmdError+0x10902b0
2c 00000095`37bfd470 00007ffd`2d95ffa7     chrome!VR_GetStringForHmdError+0x10b15ad
2d 00000095`37bfd4e0 00007ffd`2d95eb62     chrome!VR_GetStringForHmdError+0x10b1d77
2e 00000095`37bfd5e0 00007ffd`2d95d3f4     chrome!VR_GetStringForHmdError+0x10b0932
2f 00000095`37bfd6a0 00007ffd`2d95cbc1     chrome!VR_GetStringForHmdError+0x10af1c4
30 00000095`37bfd770 00007ffd`2cac07b4     chrome!VR_GetStringForHmdError+0x10ae991
31 00000095`37bfd850 00007ffd`2d93e4e0     chrome!VR_GetStringForHmdError+0x212584
32 00000095`37bfd8b0 00007ffd`2cac0bdd     chrome!VR_GetStringForHmdError+0x10902b0
33 00000095`37bfd900 00007ffd`2ca9b81c     chrome!VR_GetStringForHmdError+0x2129ad
34 00000095`37bfd980 00007ffd`2ca9a106     chrome!VR_GetStringForHmdError+0x1ed5ec
35 00000095`37bfda70 00007ffd`2c986353     chrome!VR_GetStringForHmdError+0x1ebed6
36 00000095`37bfdc30 00007ffd`2c986992     chrome!VR_GetStringForHmdError+0xd8123
37 00000095`37bfdc80 00007ffd`2c97824d     chrome!VR_GetStringForHmdError+0xd8762
38 00000095`37bfdd50 00007ffd`2e5830de     chrome!VR_GetStringForHmdError+0xca01d
39 00000095`37bfdd80 00007ffd`2b197199     chrome!VR_GetStringForHmdError+0x1cd4eae
3a 00000095`37bfde10 00007ffd`2b1a5fe8     chrome!CrashForExceptionInNonABICompliantCodeRange+0x58ad59
3b 00000095`37bfded0 00007ffd`2b1a5e4f     chrome!CrashForExceptionInNonABICompliantCodeRange+0x599ba8
3c 00000095`37bfdfb0 00007ffd`2b1b4c7d     chrome!CrashForExceptionInNonABICompliantCodeRange+0x599a0f
3d 00000095`37bfdff0 00007ffd`2cc5eefc     chrome!CrashForExceptionInNonABICompliantCodeRange+0x5a883d
3e 00000095`37bfe120 00007ffd`2cc564d2     chrome!VR_GetStringForHmdError+0x3b0ccc
3f 00000095`37bfe300 00007ffd`2989b907     chrome!VR_GetStringForHmdError+0x3a82a2
40 00000095`37bfe4f0 00007ffd`28dad68a     chrome!ovly_debug_event+0x870ef7
41 00000095`37bfe5c0 00007ffd`2898d172     chrome!ChromeMain+0x4b87ea
42 00000095`37bfe820 00007ffd`2898c651     chrome!ChromeMain+0x982d2
43 00000095`37bfe8d0 00007ffd`2898bed2     chrome!ChromeMain+0x977b1
44 00000095`37bfe9c0 00007ffd`2898b64f     chrome!ChromeMain+0x97032
45 00000095`37bfebb0 00007ffd`28989b26     chrome!ChromeMain+0x967af
46 00000095`37bfecb0 00007ffd`289897d1     chrome!ChromeMain+0x94c86
47 00000095`37bfee30 00007ffd`289079fe     chrome!ChromeMain+0x94931
48 00000095`37bfef10 00007ffd`2c0ca79d     chrome!ChromeMain+0x12b5e
49 00000095`37bff020 00007ffd`2c0ca4cf     chrome!RelaunchChromeBrowserWithNewCommandLineIfNeeded+0xc72cd
4a 00000095`37bff160 00007ffd`2890561b     chrome!RelaunchChromeBrowserWithNewCommandLineIfNeeded+0xc6fff
4b 00000095`37bff1f0 00007ffd`289054ce     chrome!ChromeMain+0x1077b
4c 00000095`37bff270 00007ffd`28904e1c     chrome!ChromeMain+0x1062e
4d 00000095`37bff2d0 00007ffd`2bf8f794     chrome!ChromeMain+0xff7c
4e 00000095`37bff3a0 00007ffd`28919241     chrome!IsSandboxedProcess+0x41e6f4
4f 00000095`37bff540 00007ffd`28900ddc     chrome!ChromeMain+0x243a1
50 00000095`37bff5e0 00007ffd`289007fe     chrome!ChromeMain+0xbf3c
51 00000095`37bff8b0 00007ffd`288f4fb3     chrome!ChromeMain+0xb95e
52 00000095`37bff940 00007ff6`da83259a     chrome!ChromeMain+0x113
53 00000095`37bffa30 00007ff6`da831afd     chrome_exe!Ordinal0+0x259a
54 00000095`37bffaf0 00007ff6`da96fdc2     chrome_exe!Ordinal0+0x1afd
55 00000095`37bffef0 00007ffd`63627034     chrome_exe!GetHandleVerifier+0xe5172
56 00000095`37bfff30 00007ffd`655fd0d1     KERNEL32!BaseThreadInitThunk+0x14
57 00000095`37bfff60 00000000`00000000     ntdll!RtlUserThreadStart+0x21

同时可以使用BrokenType/ttf-otf-dwrite-loader直接加载poc.ttf复现漏洞,崩溃地址不变,调用栈为:

 # Child-SP          RetAddr               Call Site
00 00000054`8d70e960 00007ffd`4c107e92     DWrite!fsg_ExecuteGlyph+0x72c
01 00000054`8d70ea90 00007ffd`4c107ac3     DWrite!fsg_CreateGlyphData+0x12e
02 00000054`8d70eb50 00007ffd`4c1072d9     DWrite!fsg_GridFit+0xbb
03 00000054`8d70ebe0 00007ffd`4c105d72     DWrite!fs__Contour+0x1c1
04 00000054`8d70ecd0 00007ffd`4c105b57    DWrite!TrueTypeRasterizer::Implementation::RasterizeInternal+0xfa
05 00000054`8d70ed10 00007ffd`4c105aa4     DWrite!TrueTypeRasterizer::Implementation::GetBitmapInternal+0x2f
06 00000054`8d70ed70 00007ffd`4c1f0f2e    DWrite!TrueTypeRasterizer::Implementation::GetBitmap+0x30
07 00000054`8d70ede0 00007ffd`4c198122    DWrite!TrueTypeRasterizer::Implementation::GetMetrics+0x7a
08 00000054`8d70eee0 00007ffd`4c119e35    DWrite!TrueTypeFontMetricsBuilder::GetGlyphMetrics+0x68722
09 00000054`8d70efc0 00007ffd`4c1199a8    DWrite!DesignGlyphMetricsRasterizationState::RasterizeGlyph+0x45
0a 00000054`8d70f030 00007ffd`4c12f614    DWrite!GlyphDataElement<DesignGlyphMetricsLayout,DesignGlyphMetricsRasterizationParameters,DesignGlyphMetricsRasterizationState>::AddGlyphs+0x148
0b 00000054`8d70f210 00007ffd`4c12f1ff     DWrite!GlyphDataElement<DesignGlyphMetricsLayout,DesignGlyphMetricsRasterizationParameters,DesignGlyphMetricsRasterizationState>::GetGlyphData+0x274
0c 00000054`8d70f340 00007ffd`4c12dd20    DWrite!FontFace::GetDesignGlyphMetrics+0xaf
0d 00000054`8d70f430 00007ff7`9d301460     DWrite!DWriteFontFace::GetDesignGlyphMetrics+0xc0
0e 00000054`8d70f4b0 00007ff7`9d3018e4     ttf_otf_dwrite_loader+0x1460
0f 00000054`8d70f7a0 00007ffd`63627034     ttf_otf_dwrite_loader+0x18e4
10 00000054`8d70f7e0 00007ffd`655fd0d1     KERNEL32!BaseThreadInitThunk+0x14
11 00000054`8d70f810 00000000`00000000     ntdll!RtlUserThreadStart+0x21

BrokenType/ttf-otf-dwrite-loader的下载地址为

https://github.com/googleprojectzero/BrokenType/tree/master/ttf-otf-dwrite-loader

漏洞成因

字体加载后会调用 TrueTypeRasterizer::Implementation::Initialize 初始化函数,在 Initialize 内部调用 fs_NewSfnt 函数,fs_NewSfnt 又会调用fsg_WorkSpaceSetOffsets 函数,fsg_WorkSpaceSetOffsets 的作用是计算内存分配长度。查看 fsg_WorkSpaceSetOffsets函数的伪代码如下:

a1是指向maxp表的指针,v10 = *((WORD *)a1 + 5)取字段maxCompositePoints 的值*((WORD *)a1 + 3取字段maxPoints,因为maxCompositePoints和maxPoints的偏移分别是10和6,同时a1被强制转化为(_WORD *) 类型,所以伪代码中偏移5和3就对应10和6。

这段代码逻辑是,比较maxPoints和maxCompositePoints的大小,取大值再与数值1比较大小,最后加上数值8后作为第一个参数传入fsg_GetOutlineSizeAndOffsets函数,最后返回一个计算好的数值。

内存分配操作在Initialize函数调用fs_NewSfnt之后不远处,可以看到fsg_WorkSpaceSetOffsets函数返回的数值最终影响内存分配的长度。

poc.ttf中,maxPoints和maxCompositePoints的值分别是0和3,是畸形数据。

由于fsg_WorkSpaceSetOffsets函数中没有恰当处理,会导致Initialize函数内存分配不足。

当字体渲染时,由于内存分配不足,数据结构fsg_WorkSpaceAddr的内容会覆盖结构体GlyphData。

typedef struct fsg_WorkSpaceAddr{ 
   F26Dot6 *              pStack;                     /* Address of stack                  */ 
   void *                 pGlyphOutlineBase;      /* Address of Glyph Outline Base     */ 
   fnt_ElementType *    pGlyphElement;          /* Address of Glyph Element array    */ 
   boolean *              pGlyphDataByteSet;      /* Address of ByteSet array          */ 
   void *                 pvGlyphData;                /* Address of GlyphData array        */ 
   void *                 pReusableMemoryMarker;  /* Address of reusable memory        */ 
} fsg_WorkSpaceAddr; 
struct GlyphData{ 
  char        acIdent[2];             /* Identifier for GlyphData                         */ 
  GlyphData * pSibling;               /* Pointer to siblings                              */ 
  GlyphData * pChild;                 /* Pointer to children                              */ 
  GlyphData * pParent;                /* Pointer to parent                                */ 
  sfac_GHandle hGlyph;                /* Handle for font access                           */ 
  GlyphTypes  GlyphType;              /* Type of glyph                                    */ 
  uint16      usGlyphIndex;           /* Glyph Index                                      */ 
  BBOX        bbox;                   /* Bounding box for glyph                           */ 
  uint16      usNonScaledAW;          /* Nonscaled Advance Width                          */ 
  int16       sNonScaledLSB;          /* Nonscaled Left Side Bearing                      */ 
  uint16      usDepth;                /* Depth of Glyph in composite tree                 */ 
  sfac_ComponentTypes MultiplexingIndicator;/* Flag for arguments of composites                */ 
  boolean     bRoundXYToGrid;         /* Round composite offsets to grid                  */ 
  int16       sXOffset;               /* X offset for composite (if supplied)             */ 
  int16       sYOffset;               /* Y offset for composite (if supplied)             */ 
  uint16      usAnchorPoint1;         /* Anchor Point 1 for composites (if not offsets)   */ 
  uint16      usAnchorPoint2;         /* Anchor Point 2 for composites (if not offsets)   */ 
  transMatrix mulT;                   /* Transformation matrix for composite              */ 
  boolean     bUseChildMetrics;       /* Should use child metrics?                        */ 
  boolean     bUseMyMetrics;          /* Is glyph USE_MY_METRICS?                         */ 
  point       ptDevLSB;               /* Left Side Bearing Point                          */ 
  point       ptDevRSB;               /* Right Side Bearing Point                         */ 
  uint16      usScanType;             /* ScanType value for this glyph                    */ 
  uint16      usSizeOfInstructions;   /* Size (in bytes) of glyph instructions            */ 
  uint8 *     pbyInstructions;        /* Pointer to glyph instructions                    */ 
  fnt_ElementType * pGlyphElement;    /* Current glyph element pointer                    */ 
};

在fsg_CreateGlyphData中,fsg_AllocateGlyphDataMemory负责计算GlyphData的起始地址,fsg_InitializeGlyphData函数将fsg_WorkSpaceAddr成员pGlyphElement的地址赋给了GlyphData的pGlyphElement。由于结构体fsg_WorkSpaceAddr的内容会覆盖到GlyphData,所以在后续函数fsg_ExecuteGlyph中GlyphData.pGlyphElement上的写入操作就会破坏GlyphData。

事实也是如此,当运行到函数fsg_ExecuteGlyph时,rsi+8(GlyphData+8)落在了memset_0准备设置的内存区间(pGlyphElement数组)内,从而触发越界写。

memset_0调用之后,rsi+8地址处的内容会被清零。

接着是__guard_dispatch_icall_fptr函数的调用,这是微软控制流保护机制,实际调用TrueTypeRasterizer::Implementation::ApplyOutlineVariation函数。ApplyOutlineVariation 会调用GlyphOutlineVariationInterpolator::ApplyVariation,作用是读取ttf文件中的数据,赋值给被memset_0清零的内存区间,rsi+8因为处在区间内,所以值会被改为ttf文件中的内容。

rsi+8被控制后,可以达到任意位置写,而被写入的内容同样来自于ttf文件,同样可以被控制。这样,就得到了一个任意地址任意写原语。

动态调试

通过windbg动态调试发现(在调用memset_0前打断点),地址rsi+8处的值在调用memset_0后被清零。

查看传递给 memset_0 的参数值:

计算得出,memset_0准备设置的内存区间为[0x000001f5cdb98bec,0x000001f5cdb98d34],而rsi+8的值为0x000001f5cdb98d18正好落在了上述区间。所以memset_0执行过后,rsi+8地址处的值被置为0。

继续执行,地址rsi+8处的值在调用DWrite!_guard_dispatch_icall_fptr函数前后也发生了变化,并且被修改为poc中的值。

自此,"add [r8+56h], ax"操作中,r8与ax的值均来自于poc.ttf文件,可以被完全控制,攻击者就可以做到任意地址任意写。

补丁

查看补丁文件,发现fsg_WorkSpaceSetOffsets函数作了修改,查阅fsg_WorkSpaceSetOffsets补丁后的伪代码:

在原来的逻辑上,又取出了字段maxComponentElements的值(v12 = *((_WORD *)a1 + 14);),并与之比较大小,将数值大者传入函数fsg_GetOutlineSizeAndOffsets。伪代码稍微有点问题,经过汇编代码比较后,v17其实应该是v33。

调试补丁,memset_0准备设置的内存区间为[0x0000017ce0730f64,0x0000017ce07310ac],区间长度仍然为0x148,而rsi+8的值为0x0000017ce0731698落在了区间之外,不再触发数组越界写漏洞。

总结

DWrite 库文件由于对畸形 ttf 文件的处理不当,导致数组越界写漏洞。攻击者精心构造 ttf 文件后,达到了任意地址任意写,从而能够进一步完成远程代码执行的攻击效果。补丁文件更正了对畸形文件数据的处理逻辑, 使得分配的内存长度更大,避免了越界写的出现。

参考资料

  • https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-24093

  • https://bugs.chromium.org/p/project-zero/issues/detail?id=2123

  • http://blog.topsec.com.cn/cve-2021-24093-windows图形组件远程执行代码漏洞分析/

  • https://packetstormsecurity.com/files/161582/Microsoft-DirectWrite-fsg_ExecuteGlyph-Buffer-Overflow.html

推荐阅读

微软“照片”应用Raw 格式图像编码器漏洞 (CVE-2021-24091)的技术分析

开源OS FreeBSD 中 ftpd chroot 本地提权漏洞 (CVE-2020-7468) 的技术分析

详细分析开源软件 ExifTool 的任意代码执行漏洞 (CVE-2021-22204)

详细分析 Sonlogger 任意文件上传漏洞 (CVE-2021-27964)

手把手教你详细分析 Chrome 1day 漏洞 (CVE-2021-21224)

Codecov后门事件验证分析

题图:Pixabay License

转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

    觉得不错,就点个 “在看” 或 "赞” 吧~

奇安信代码卫士
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Windows MVSC编译器实现Xtended Flow Guard(XFG)保护机制的原理分析
systemino的博客
11-24 2955
一、前言 近期,微软正在开发Xtended Flow Guard(XFG),这是Control Flow Guard(控制流防护,CFG)的演进版本,作为其自身的控制流完整性实现。XFG通过不同类型函数原型的哈希值,限制间接控制流的转移。在这篇文章中,深入讨论了MSVC编译器是如何生成XFG函数的原型哈希值。 二、概述 2014年,微软推出了名为“Control Flow Integrity”(控制流防护,CFG)的控制流完整性(CFI)解决方案。在此前,已经有很多研究人员对CFG展开了广泛的研究。随
面向循环的编程:一种新的代码重用攻击以绕过现代防御
03-12
面向循环的编程:一种新的代码重用攻击以绕过现代防御
vc2008 错误:error LNK2001: 无法解析的外部符号之一
coolshine1234的专栏
10-11 2328
error LNK2001: 无法解析的外部符号  "protected: virtual struct AFX_MSGMAP const * __thiscall ****::GetMessageMap(void)const " (?GetMessageMap@。。。  fatal error LNK1120: 1 个无法解析的外部命令 A:检查
RCE(远程命令执行)漏洞详解
最新发布
sev1n的博客
04-02 1485
RCE(remote command/code execute,远程命令执行)漏洞 远程代码执行 (RCE) 攻击是指攻击者可以在一个组织的计算机或网络上运行恶意代码。执行攻击者控制的代码的能力可用于各种目的,包括部署额外的恶意软件或窃取敏感数据。
cve2021
smile99_的博客
06-02 273
2.windows类型开发 cve-2021-36955 CLFS提权 cve-2022-24521CLFS提权 cve-2022-37969有exp 3.linux内核uaf cve-2017-11176实现getshell 命令执行 NtCreateFile Windbg BINDIFF 内核下的一般漏洞分析,通常使用Windbg远程双机调试的方式,对于特殊漏洞,比如虚拟化漏洞相关,可以采用IDA + VMWare GdbStub的方式。 漏洞分析三要素: 调试工具的熟练程度:
COOP绕过微软最新CFG(Control Flow Guard)
u012679087的专栏
11-16 1986
原文链接:https://bbs.pediy.com/thread-217335.htm 最新的漏洞利用开始渐渐脱离基于ROP的代码重用攻击。在过去的两年里,出现了一些关于一种新的代码重用攻击的文章,Counterfeit Object-Oriented Programming(COOP)。COOP是一种顶级的针对forward-edge的执行流完整性(CFI) 的攻击方式。
电脑提示缺少找不到DWrite.dll文件如何解决?
file
05-27 758
其实很多用户玩单机游戏或者安装软件的时候就出现过这种问题,如果是新手第一时间会认为是软件或游戏出错了,其实并不是这样,其主要原因就是你电脑系统的该dll文件丢失了或者损坏了,这时你只需下载这个DWrite.dll文件进行安装(前提是找到适合的版本),当我们执行某一个.exe程序时,相应的DLL文件就会被调用,因此安装好之后就能重新打开你的软件或游戏了.那么出现DWrite.dll丢失要怎么解决?
无符号驱动 加载时找入口点
qq_41490873的博客
04-07 336
dt _DRIVER_OBJECT nt!_DRIVER_OBJECT +0x000 Type : Int2B +0x002 Size : Int2B +0x008 DeviceObject : Ptr64 _DEVICE_OBJECT +0x010 Flags : Uint4B +0x018 DriverStart : Ptr64 Void +0x020 DriverSize .
堆溢出崩溃分析Critical error detected c0000374
顺其自然~专栏
05-18 3151
(Owed by: 春夜喜雨 http://blog.csdn.net/chunyexiyu) 参考:https://blog.csdn.net/q610098308/article/details/94630682 参考:https://blog.csdn.net/weitaming1/article/details/84023789 参考:https://stackoverflow.com/questions/23471161/critical-error-detected-c0000374-c-d..
DirectX12(D3D12)基础教程(十三)——D2D、DWrite On D3D12与文字输出
Gamebaby Rock Sun的博客
03-12 5925
1、 前言   在经过了前面一系列章节的“狂轰滥炸”式的学习之后,如果你现在跟进到了这里,那么请为自己点个赞先!   从本章开始,教程内容都会开始使用Markdown方式进行发布。一方面主要是为了练习Markdown编辑器的使用;另一方面Markdown目前已经成为比较流程的程序文档的编辑方式,我也来跟跟潮流,也是让大家习惯Markdown。还有就是Markdown的公式编辑比较简洁,后续的文章中...
Windows MSDT RCE(CVE-2022-30190)复现
Love&Share
06-07 1421
Windows MSDT RCE(CVE-2022-30190)复现
riched20.dll
12-02
在Ubuntu系统下,需要安装Windows下的软件,在Ubuntu中安装Wine,在Wine中安装钉钉,微信等应用的时候,会发现输入框显示不了光标和输入的文字,那么就需要riched20.dll这个库来替换,在win7 或 xp (32位的) 找到c:/windows/system32/riched20.dll,特此上传方便大家替换
terrafx.interop.windows:Windows的互操作绑定
05-15
TerraFX.Interop.Windows Windows的互操作绑定。 程序包位于: : 或通过NuGet Feed URL: : 目录行为守则TerraFX和所有贡献者(包括问题,拉取请求,Wiki等)都必须遵守 。 可通过与项目团队联系来报告虐待,骚扰或...
Direct2D Dwrite 绘制文本
03-30
用Direct2D Dwrite 绘制文本,线性画刷绘制文本内容,可以设置文字透明度等。
gocd-maven-spike:困惑与Maven扩展
05-16
使用maven AbstractMavenLifecycleParticipant实验。... mvn package -Dwrite.model=true来转储修改后的pom.xml 基于Maven 3生命周期扩展。 通过.mvn/extensions.xml 使用.mvn/extensions.xml激活的.mvn/
DWrite.dll
12-21
DWrite
DXUI-Library:一个非常简单、动画华丽的界面库
05-09
一个 超级简单、动画华丽 的界面库取“DXUI”这个名字是因为此界面库使用Direct 2D图形库来绘制,使用Wic库实现加载图片及部分功能,使用DWrite库来绘制处理文字。1.控件样式可以90%自定义,并且有完善的透明度支持...
windbg抓一个windows蓝屏分析
独行猫a 的沉淀、积累、总结。天天学习,好好向上...c/c++,嵌入式 linux,Android,HarmonyOS)
01-30 9858
设备一直以来挺稳定,但还是小概率事件意外出现某设备突然蓝屏了。查看windows事件查看器提示计算机已经从检测错误后重新启动。检测错误: 0x0000009f (0x0000000000000003, 0xffffad0f4edc7570, 0xfffff8046a09ec20, 0xffffad0f4ef318a0)。已将转储的数据保存在: C:\Windows\MEMORY.DMP。
ExplorerFrame.dll 的 BUG可能导致不良设计的用户程序危害系统稳定
oRbIt 的专栏
05-27 811
ExplorerFrame.dll 动态链接库中的 `GetInfoTipEx` 函数实现缺陷,可能导致不良设计的用户代码破坏系统稳定性。如果用户程序对 IQueryInfo 接口的`GetInfoTip`方法实现不当,可能会触发`GetInfoTipEx`的缺陷,导致 explorer.exe 异常退出
dx12+dwrite
03-01
DWrite 是 DirectX 中的一个组件,全称为 DirectWrite。它是一种用于处理文本和字体渲染的 API。DWrite 提供了高质量的文本布局和渲染功能,可以用于创建各种字体效果和排版样式。 结合使用 DX12 和 DWrite,开发者...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值