Win10安全特性之执行流保护

最新推荐文章于 2023-03-15 23:13:32 发布
最新推荐文章于 2023-03-15 23:13:32 发布
阅读量6.9k 收藏 4
点赞数
分类专栏: 安全技术 文章标签: 安全 操作系统相关 异常处理 内存管理 操作系统
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/stevegao_tencent/article/details/43486485
版权
本文详细介绍了Windows 10中的执行流保护技术,包括CFI(Control-Flow Integrity)和CFG(Control Flow Guard)。CFI通过在二进制文件中插入校验ID来确保指令流的正确性,而CFG则是编译器和操作系统结合的防护手段,通过记录间接调用信息并在执行时进行校验,防止不可信的间接调用。文章还讨论了电脑管家在XP防护中的执行流保护策略,以及这些技术对性能的影响。
摘要由CSDN通过智能技术生成

1 背景

微软在2015年1月22日公布了windows10技术预览版,Build号:9926。电脑管家反病毒实验室第一时间对其引入的新安全特性进行了深入分析。

众所周知,漏洞利用过程中攻击者若要执行恶意代码,需要破坏程序原有指令的的正常执行。执行流保护的作用就是在程序执行的过程中检测指令流的正常性,当发生不符合预期的情况时,及时进行异常处理。业界针对执行流保护已经有一些相对成熟的技术方案,在微软发布的windows10最新版本中,我们看到了这一防护思想的广泛使用。

2 CFI

CFI即控制流完整性Control-Flow Integrity,主要是通过对二进制可执行文件的动态改写,以此为其增加额外的安全性保障。



这是Mihai Budiu介绍CFI技术时使用的例子。这里通过对二进制可执行文件的改写,对jmp的目的地址前插入一个在改写时约定好的校验ID,在jmp的时候看目的地址前的数据是不是我们约定好的校验ID,如果不是则进入错误处理流程。

同理在call 和 ret的时候也可以进行改写:



左半部分就是一个对call的改写,右半部分是对ret的一个改写,在call的目的地址和ret的返回地址之前插入校验ID,然后改写的call 和ret中增加了对校验ID的检查,如果不符合预期,进入错误处理流程,这个思路和上边对jmp的处理是完全一样的。

3 CFG

实现CFI需要在jmp、call 一个寄存器(或者使用寄存器间接寻址)的时候,目的地址有时必须通过动态获得&

最低0.47元/天 解锁文章
PCMGR_TENCENT
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 6
    评论
专栏目录
网卡设置 网卡的高级设置说明
weixin_30487701的博客
12-08 1万+
网卡设置 网卡的高级设置说明 修改电脑网卡高级设置可以提高网络速度。另外,建议关闭在Realtek网卡高级设置中的以下其他选项:控制/FlowControl、巨型帧/Jumboframe、大量传送负载/OffloadLargesend、EEE(Energy Efficient Ethernet)、环保节能/GreenEthernet、硬件效验和/OffloadChksum。 自动关闭 PCI...
win10系统64位驱动级防止进程关闭资源
01-20
win10系统64位驱动级防止进程关闭资源,资源注释详细,适用于研究SSDT,SHADOW SSDT的同学参考
wsl -l -v无反应解决办法
热门推荐
feinifi的博客
03-15 1万+
windows子系统出现在命令行wsl -l -v无显示、无反应的问题。原因是控制流保护被关闭了,需要在windows安全中心设置。
网吧游戏更新服务器--------各种网卡参数设置
The_IT_Crowd的专栏
06-22 6235
NF网卡高级设置: checksum offload 数据包校验 建议关闭 flow control    量控制 一定要关闭 ieee802.1p support ieee802.1p支持 建议关闭 jumbo payload size 默认是1500 这个是千兆网络一个新的设置,在下文详细叙述。 low power state speed 网卡节能 建议关闭 network
控制流保护技术
qq_36963214的博客
10-18 764
Control Transfer Terminating Instructions ENDBR64 — Terminate an Indirect Branch in 64-bit Mode Opcode Instruction Op/En 64-Bit Mode Compat/Leg Mode Description F3 0F 1E FA ENDBR64 NP Valid Valid Terminate indirect branch in 64 bit mode. Instruc
WIN10 NET Framework 3.5.rar
05-08
8. **安全性**:.NET Framework 3.5内置了安全特性,如代码访问安全确保只有经过授权的代码才能执行特定操作,防止恶意攻击。 9. **应用程序兼容性**:许多老版的Windows应用程序依赖.NET Framework 3.5,因此...
w10_genesis2000_安装器.rar
08-11
此外,Windows 10系统的安全特性可能会阻止未知来源的软件安装,因此在安装过程中可能需要暂时关闭Windows Defender或者给予安装程序管理员权限。在安装完成后,记得重新开启安全防护,以保护系统不受潜在威胁。 ...
Win7 64位 RDP升级到8.1.zip
11-08
6. **安全性增强**:RDP 8.1引入了更多的安全特性,如加密和身份验证机制的加强,以保护远程会话的安全。 7. **高分辨率显示优化**:RDP 8.1可以更好地处理高DPI显示器,避免文字和图像模糊。 8. **更好的音频和...
git 2.26.0 -64 -bit win64.zip
04-05
5. **安全性更新**:Git团队可能修复了潜在的安全漏洞,以保护用户的代码不受攻击。这些安全更新对于维护代码仓库的隐私和完整性至关重要。 6. **支持与兼容性**:2.26.0版本可能提高了对不同操作系统和文件系统的...
张云海--Windows10安全特性概览
04-25
张云海--Windows10安全特性概览,写的很详细,很好的,
绕过PG和DSE的代码
04-23
静态过PG 通用补丁过保护和驱动程序签名强制禁用 UPGDSED Universal PatchGuard and Driver Signature Enforcement Disable
Windows内核和驱动进程保护
01-06
驱动开发环境详细配置,SSDT钩子的进程保护,详细的源代码
jdk1.7_win64
05-10
10. **安全性增强**:JDK 1.7提升了安全性和加密算法,增强了对SSL/TLS协议的支持,提供了更好的隐私保护。 在下载并解压"jdk1.7_win64"压缩包后,用户将得到包含bin、conf、lib等目录的JDK安装。其中,bin目录下有...
关于CFG的研究
sxr__nc的博客
04-03 1415
关于CFG的研究 CFG(Control Flow Guard)控制流防护,是微软在Windows8.0以及Windows10上推出的新的防护机制 防护点在于,防护间接调用,防止在程序间接调用函数的时候,使用恶意代码进行替换,导致执行恶意程序。CFG的实现机制在于每当存在间接调用的函数的时候,就会先去判断一下间接调用的地址处是不是一个有效的函数的起始地址。主要关注缓解间接调用和调用不可靠目标的问题(在没有CFG支持的Windows中,这个函数不做任何事。在Windows 10中,有了CFG的支持,它指向nt
分析及防护Win10 执行保护绕过问题
嬴政
08-07 4153
原文地址:http://www.panshy.com/articles/201508/security-2512.html Black Hat USA 2015正在进行,在微软安全响应中心公布的最新贡献榜单中,绿盟科技安全研究员张云海位列第6位,绿盟科技安全团队(NSFST)位列28位,绿盟科技 安全团队(NSFST)常年致力于发现并解决计算机以及网络系统中存在的各种安全缺陷。这篇《Wind
cfi那些事
蚁景网安学院
09-01 433
原创稿件征集 邮箱:edu@antvsion.com QQ:3200599554 黑客与极客相关,互联网安全领域里的热点话题漏洞、技术相关的调查或分析,稿件通过并发布还能收获200-800元不等的稿酬。 本文作者:s3cunDa 控制流完整性 针对于漏洞利用,最终的效果和目的就是劫持控制流,控制目标程序做一些他本来做不了的事情。可以达到这一目的的方式有很多,比如ROP、劫持函数指针等等。而这些都来自于软件中一些漏洞,如缓冲区溢出、释放后利用等等。最初防御的方式就是头疼医头,脚疼医脚,哪里出现了漏洞比如缓.
在Linux中使用C语言实现控制流保护(CFG)【转】
weixin_33874713的博客
07-26 212
转自:http://www.codesec.net/view/537311.html 一、前言 最近版本的windows有一个新的缓解措施叫做控制流保护(CFG)。在一个非直接调用之前――例如,函数指针和虚函数――针对有效调用地址的表检查目标地址。如果地址不是一个已知函数的入口,程序将会终止运行。 如果一个程序有一个缓冲区溢出漏洞,攻击者可以利用它覆盖一个函数地址,并且通过调用那个指针来控制...
的打开与关闭
anton_99的博客
08-11 943
如果需要对文件进行读写操作,首先应该得到一个指针,或者说首先应该将文件打开。 #include <stdio.h> FILE *fopen(const char *path, const char *mode); FILE *fdopen(int fd, const char *mode); FILE *freopen(const char *path, const char mod...
win10安全更新补丁卸载工具
最新发布
08-09
win10安全更新补丁卸载工具是一种可以帮助用户卸载或回滚已安装的安全更新补丁的工具。随着时间的推移,微软会不断发布新的安全更新补丁来修复操作系统中的漏洞和安全问题。然而,有时候这些补丁可能会引起不兼容或其他问题,因此用户可能需要将其卸载或回滚。 win10安全更新补丁卸载工具的主要功能包括: 1. 卸载补丁:工具可以扫描和检测操作系统中已经安装的补丁,并提供卸载选项。用户可以选择要卸载的特定补丁,然后执行卸载操作。 2. 回滚到先前版本:在卸载补丁之后,工具还可以帮助用户回滚到先前版本的操作系统。这可以确保系统回到之前的稳定状态,以避免出现其他问题。 3. 自动检测更新:工具可以自动检测新的安全更新补丁,并及时提醒用户进行安装。这可以确保操作系统始终处于最新和最安全的状态。 4. 简化操作:win10安全更新补丁卸载工具的界面友好,操作简单明了。用户只需几个简单的步骤,就可以完成卸载或回滚操作,无需复杂的设置或命令行操作。 尽管win10安全更新补丁卸载工具是一个有用的工具,但用户在使用之前应该谨慎。在卸载或回滚补丁之前,建议先备份重要的数据和设置,以防意外发生。此外,及时安装最新的安全更新补丁也是保持系统安全性的关键步骤。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值