Android 地址空间随机化(ALSR)缓解技术

最新推荐文章于 2024-02-26 21:43:45 发布
最新推荐文章于 2024-02-26 21:43:45 发布
阅读量4.1k 收藏 4
点赞数 1
分类专栏: Android 漏洞分析基础 文章标签: android ALSR bypass
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/txx_683/article/details/53487522
版权

出发点

常规的缓冲区溢出利用技术以及其衍生的Ret2libs和ROP利用技术在利用栈缓冲区溢出漏洞进行攻击时,需要事先熟悉被攻击进程的虚拟地址空间布局以便采用硬编码方式布局栈内存。由于操作系统每次加载进程和动态链接库时,基地址都加载到固定虚拟内存地址处,使缓冲区溢出漏洞易于劫持程序流程跳转到布局在栈内存的shellcode,即使开启XN缓解技术,采用ROP也很容易定位到系统库中的gadget,并劫持程序执行流跳转到gadget chain。

基于上述缓冲区溢出漏洞的利用特点,地址空间布局随机化机制(ALSR)将熵引入到进程内存地址空间中,使进程的多个区域(系统调用使用的区域、栈内存空间等)在加载时随机分配虚拟地址空间,这样可以有效的阻止Ret2libs和ROP等利用技术。如果和XN技术结合启用将在最大程度上保护系统不受内存破坏漏洞的攻击。

原理

早期的ASLR技术主要是在进程加载时在进程栈上预先填充随机大小的字节(将栈顶指针减去随机大小字节),从而达到进程基地址加载的地址空间随机化布局,但由于随机化的内存地址区域单一(栈内存),无法应对其他形式的内存攻击,eg,堆缓冲区溢出攻击,并且由于填充的随机字节数太少很容被暴力破解掉,只是在一定程度上缓解了缓冲区溢出漏洞攻击。

随着ASLR技术的逐步完善,ASLR技术趋于成熟。其中PaX的技术方案就是ASLR的成熟代表。PaX通过对内核打补丁的方式,实现了对栈基址、主程序基址和共享库的加载随机化。在进程加载时对栈基址的4-27位进行随机化,对主程序的代码区、静态数据区、堆三个连续区域基地址的12-27位进行随机化,对共享库加载地址的12-27位进行随机化,这样对存在内存破坏的各种内存区域都进行了强随机化,大大降低了缓冲区溢出攻击的成功率。

和PaX不同,TRR通过修改进程加载器的方式来实现ASLR,避免了修改内核,其随机化方法基本和PaX类似。但TRR增加了对GOT表的随机化功能,TRR通过修改进程加载器,在进程加载时将GOT表移动到随机位置,并用二进制代码修改工具修改了代码段PLT中对GOT表的索引使其正确指向GOT,从而实现了对GOT表的随机化。GOT表随机化可以有效的阻止修改GOT表中函数指针指向恶意代码的攻击方式。

android

与其他操作系统一样,Android对ASLR机制的支持也是分阶段完成的,最早在4.0版本引入,仅仅实现了对nmap系统调用所创建的区域(包括动态链接库)的随机化。在4.0.3实现了对空间的随机化,但是动态连接器(linker)本身的随机化并未实现,4.1.1为linker和所有其他的系统二进制文件进行了随机化,目前Android系统已经完全支持了ASLR机制。

ALSR机制有这样的一个特点或者说“缺陷”:当进程启动时,随机化会生效,但如果进程是由一个程序fork而来,则不会再次随机化。使用fork系统调用后,新进程的地址空间布局会和原来的进程完全一样。这种情况在Android上的例子就是Zygote。

Zygote利用fork机制来启动所有应用进程,这些应用程序拥有一个巨大的、共享的、预先填充的虚拟内存地址空间,并利用写时复制技术(copy-on-write)尽可能延迟内存页的复制,从而减少了新进程的内存使用量和创建时间。但同时这样的设计也使Android设备上的任何应用程序都可以泄漏内存地址。

例如,下面是Android中两个由Zygote fork启动的应用程序,

root@hammerhead:/ # cat /proc/1380/maps                                        
4004c000-40051000 r-xp 00000000 b3:19 1424       /system/bin/app_process
40051000-40052000 r--p 00004000 b3:19 1424       /system/bin/app_process
40052000-40053000 rw-p 00005000 b3:19 1424       /system/bin/app_process
40053000-40062000 r-xp 00000000 b3:19 125        /system/bin/linker
40062000-40063000 r--p 0000e000 b3:19 125        /system/bin/linker
40063000-40064000 rw-p 0000f000 b3:19 125        /system/bin/linker
40064000-40067000 rw-p 00000000 00:00 0 
40067000-40068000 r--p 00000000 00:00 0 
40068000-40069000 rw-p 00000000 00:00 0          [anon:libc_malloc]
40069000-4006c000 r-xp 00000000 b3:19 791        /system/lib/liblog.so
4006c000-4006d000 r--p 00002000 b3:19 791        /system/lib/liblog.so
4006d000-4006e000 rw-p 00003000 b3:19 791        /system/lib/liblog.so
4006e000-400b5000 r-xp 00000000 b3:19 711        /system/lib/libc.so
400b5000-400b6000 ---p 00000000 00:00 0 
400b6000-400b8000 r--p 00047000 b3:19 711        /system/lib/libc.so
400b8000-400bb000 rw-p 00049000 b3:19 711        /system/lib/libc.so
400bb000-400c9000 rw-p 00000000 00:00 0 
400c9000-400ca000 r-xp 00000000 b3:19 880        /system/lib/libstdc++.so
......
be91d000-be93e000 rw-p 00000000 00:00 0          [stack]
ffff0000-ffff1000 r-xp 00000000 00:00 0          [vectors]

============================================================================

root@hammerhead:/ # cat /proc/1367/maps
4004c000-40051000 r-xp 00000000 b3:19 1424       /system/bin/app_process
40051000-40052000 r--p 00004000 b3:19 1424       /system/bin/app_process
40052000-40053000 rw-p 00005000 b3:19 1424       /system/bin/app_process
40053000-40062000 r-xp 00000000 b3:19 125        /system/bin/linker
40062000-40063000 r--p 0000e000 b3:19 125        /system/bin/linker
40063000-40064000 rw-p 0000f000 b3:19 125        /system/bin/linker
40064000-40067000 rw-p 00000000 00:00 0 
40067000-40068000 r--p 00000000 00:00 0 
40068000-40069000 rw-p 00000000 00:00 0          [anon:libc_malloc]
40069000-4006c000 r-xp 00000000 b3:19 791        /system/lib/liblog.so
4006c000-4006d000 r--p 00002000 b3:19 791        /system/lib/liblog.so
4006d000-4006e000 rw-p 00003000 b3:19 791        /system/lib/liblog.so
4006e000-400b5000 r-xp 00000000 b3:19 711        /system/lib/libc.so
400b5000-400b6000 ---p 00000000 00:00 0 
400b6000-400b8000 r--p 00047000 b3:19 711        /system/lib/libc.so
400b8000-400bb000 rw-p 00049000 b3:19 711        /system/lib/libc.so
400bb000-400c9000 rw-p 00000000 00:00 0 
400c9000-400ca000 r-xp 00000000 b3:19 880        /system/lib/libstdc++.so
......
be91d000-be93e000 rw-p 00000000 00:00 0          [stack]
ffff0000-ffff1000 r-xp 00000000 00:00 0          [vectors]

bypass

虽然ASLR机制可以有效地缓解了缓冲区溢出漏洞的利用,但也仅仅是增加了漏洞利用的开发难度,并未能完全防御。下面列出了常用的对抗ASLR技巧:

  • 最简单的方法是利用尚未被随机化的区域,目前Android上已完全随机化,这种方法不适用于Android。

  • 利用堆喷技术使攻击者控制的数据到达内存中可预测的位置。

  • 利用信息泄漏漏洞更加精准有效的获取进程地址空间布局。

  • 利用Android应用进程由Zygote fork启动的特点,可以预先在手机中植入恶意应用程序,并由该程序来泄漏内存地址布局。

杏林小轩
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ALSR
samson
05-12 4830
ALSR介绍: 1.1定义 aslr是一种针对缓冲区溢出的安全保护技术,通过对堆、栈、共享库映射等线性区布局的随机化,通过增加攻击者预测目的地址的难度,防止攻击者直接定位攻击代码位置,达到阻止溢出攻击的目的的一种技术。如今Linux、FreeBSD、Windows等主流操作系统都已采用了该技术。 Linux Linux已在内核版本2.6.12中添加ASLR。...
Linux内核地址空间随机化ASLR的几种实现方法
tugouxp的专栏
02-01 4527
ASLR(Address Space Layout Randomization)在2005年被引入到Linux内核kernel 2.6.12中。地址空间随机化在内核中有多种实现和表现方式,下面分别介绍。
软件安全实验一
qq_44047806的博客
04-06 3861
一、ASLR和DEP原理 1.ASLR原理: ASLR是一种针对缓冲区溢出的安全保护技术,通过对堆、栈、共享库映射等线性区布局的随机化,通过增加攻击者预测目的地址的难度,防止攻击者直接定位攻击代码位置,达到阻止溢出攻击的目的。如今Linux、FreeBSD、Windows等主流操作系统都已采用了该技术。(虚拟地址)此技术需要操作系统和软件相配合。 PE头文件中会设置 IMAGE_DLL_CHARACTERISTICS_DYNAMIC_BASE标示来说明其支持 ASLRASLR(Address space
20165313-bof进阶
weixin_30856965的博客
07-01 277
实践基础知识 1、ALSR 1、定义: ASLR,全称为 Address Space Layout Randomization,地址空间布局随机化,它将进程的某些内存空间地址进行随机化来增大入侵者预测目的地址的难度,从而降低进程被成功入侵的风险。简而言之,就是在运行程序时通过随机化栈地址,从而减低攻击者猜测到关键代码运行地址的可能,降低被攻击的风险。 Linux 平台上 ASLR 分为 ...
GOT表和PLT表知识详解
boazheng的博客
02-12 2599
GOTGOT表和PLTPLT表在程序中的作用非常巨大,接下来的讲解希望大家可以仔细看看 我们用一个非常简单的例子来讲解,代码如下: 图1 然后我们编译 我们直接gdb./a.outgdb./a.out来进行反编译处理,然后通过disasmaindisasmain查看mainmain函数中的反编译代码如下: 图3 我们可以观察到gets@pltgets@plt和puts@pltp...
网络中的个人计算机安全专训.pptx
10-07
3. 配合杀毒软件、360和Windows 7的安全特性,如Windows 7的Data Execution Protection(数据执行保护)、AquaLogic Service Registry (ALSR)、Structured Exception Handling Overwrite Protection (SEHOP)以及User...
Sr含量对MgLiAlMn合金显微组织及力学性能的影响 (2014年)
04-22
在加入Sr后合金中出现AlSr析出相。Sr对铸态合金α-Mg基体的二次枝晶臂有明显细化效果。经过热挤压处理的合金组织远优于铸态的合金组织。金属间化合物的含量与形态对合金力学性能的影响很大,其中挤压态的LAM8300.5Sr...
文件自动批量校验工具
11-06
用来做自动化测试非常合适 主要功能: 1,检查文件是否存在 2,检查是否有数字签名 3,检查文件md5值是否存在 4,检查文件是否启用了DSP和ASLR保护 支持拖曳新增文件 支持保存文件列表为json格式 可对文件列表进行...
ASLR-Removal:重塑
04-27
它通过随机化程序在内存中的布局来增加攻击者利用漏洞的难度。然而,标题“ASLR-Removal:重塑”表明我们将讨论一种情况或技术,目的是移除或禁用这个安全特性。 描述中提到的“功能缺失:正确输出CPUType & ...
ASLR_disabler:在预编译的EXE上禁用IMAGE_OPTIONAL_HEADER中的ASLR标志IMAGE_DLLCHARACTERISTICS_DYNAMIC_BASE。 适用于32位和64位Windows EXEPE映像
05-28
ASLR_disabler 在预编译的EXE上禁用IMAGE_OPTIONAL_HEADER中的ASLR标志IMAGE_DLLCHARACTERISTICS_DYNAMIC_BASE。 适用于32位和64位Windows EXE / PE映像该软件通过强制固定映像库来对EXE进行黑客攻击,以使ASLR受到...
ASLR 和 PIE
最新发布
lyndon
02-26 756
ASLR 不负责代码段以及数据段的随机化工作,这项工作由 PIE 负责。但是只有在开启 ASLR 之后,PIE 才会生效。 无论是 ASLR 还是 PIE,由于颗粒度问题,被随机化的都只是某个对象的起始地址,而在该对象的内部依然保持原来的结构,也就是说相对偏移是不会变的。
android aslr,Android可信执行环境安全研究(二):可信应用漏洞利用
weixin_28944739的博客
05-27 361
0x00 前言在第二篇系列文章中,我们将继续通过逆向工程技术来探索TEEGRIS,从而发现并利用其中存在的安全漏洞。0x01 TA漏洞分析1.1 Global Platform(GP)接口正如第一篇文章所述,TA实现了GP接口。其中我们最关注的入口点是,它在每次客户端应用程序(CA)向TA发送命令时执行。在GP规范中,记录了该函数的原型。的描述:TA_InvokeCommandEntryPoint...
漏洞利用缓解及对抗技术ALSR、KALSR、DEP、PXN
键盘的起始页
07-28 1115
随着软件系统越来越复杂,软件漏洞变得无法避免。业界逐渐推出了让漏洞无法利用或利用难度提高的方法,简称漏洞缓解技术。我们简单介绍下Android和iOS中广泛使用的一些漏洞缓解及可能的绕过技术。当然这里也包含一些相关联的安全限制,而非真正意义的缓解技术。...............
安全编译选项
qq_36963214的博客
10-03 2073
Linux 地址空间随机化 ALSR(Address Space Layout Randomization) ALSR将进程的某些内存空间地址进行随机化来增大入侵者预测目的地址的难度,从而降低漏洞被成功利用的风险。 ASLR要求执行程序被加载到内存时,它其中的任意部分都是随机的。包括Stack、Heap、Libs 、mmap、Executable、Linker和VDSO(virtual dynamic shared object) Linux下ALSR是否开启取决于/proc/sys/kernel/rand
Android系统安全 — 2.0-移动终端栈溢出的保护机制设置
qincheng168的博客
09-26 2328
操作系统提供了许多安全机制来尝试降低或阻止缓冲区溢出攻击带来的安全风险。例如 NX/DEP、ASLR(PIE)、CANARY、FORTIFY、RELRO 等手段。
ASLR初体验
weixin_44723038的博客
11-04 446
运行环境:Windows10,Visual Studio 2017 -本次实验体会 ASLR(随机基址)的作用 源码: #include <windows.h> #include <stdio.h> # include <stdlib.h> #define DLL_NAME "kernel32.dll" unsigned long gvar = 0; voi...
Android Softap Mac地址随机化
FanFF的博客
01-04 565
getWifiApConfiguration()获取BSSID失败;Android Softap Mac地址
Linux关闭ALSR
qq_38893833的博客
10-12 1064
课后老师布置作业,查看各类变量以及代码区在内存中的分布情况。 在运行之前,要关闭ASLR(Address Space Layout Randomization)即地址空间布局随机化 ALSR aslr是一种针对缓冲区溢出的安全保护技术,通过对堆、栈、共享库映射等线性区布局的随机化,通过增加攻击者预测目的地址的难度,防止攻击者直接定位攻击代码位置,达到阻止溢出攻击的目的的一种技术。如今Linux,Windows等主流操作系统都已采用了该技术。 系统 机器为自身所用的阿里云云主机,系统CentOS 7.3 操作
android 逆向工程(待续)
yangzex的专栏
12-13 1347
总结来说,section是编译器层面的概念,用于源代码的编译和链接,而segment是加载器层面的概念,用于程序的加载和执行。为了提高花指令的效果,通常会结合使用多种技巧,比如在代码中插入特殊的字符串或者模式,使用复杂的跳转逻辑,或者在不同的执行上下文中插入不同的代码片段。使用 Unidbg 的补环境时,用户可以加载和执行应用程序的 SO 文件,设置断点,观察程序的执行,以及跟踪和修改程序的状态。例如,.text节包含程序的代码,.data节包含初始化的数据,.bss节包含未初始化的数据等。
intel xmm Modem实现alsr了吗
04-01
ASLR是一种安全机制,用于随机化系统内存布局,使攻击者更难利用系统漏洞进行攻击。许多操作系统都实现了ASLR,但具体实现方式可能因操作系统和硬件平台而异。您可以查看Intel XMM Modem的文档或联系Intel支持团队以...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值