二进制程序的一些常见保护。
1、ASLR
aslr是一种针对缓冲区溢出的安全保护技术,通过对堆、栈、共享库映射等线性区布局的随机化,通过增加攻击者预测目的地址的难度,防止攻击者直接定位攻击代码位置,达到阻止溢出攻击的目的的一种技术。也就是说程序每次执行时,栈、堆、库的位置都不一样。
效果如下所示:
//环境:gcc version 7.3.0 (Ubuntu 7.3.0-27ubuntu1~18.04)
#include
int main()
{
int x=0;
printf("%08lX\n",&x);//打印变量x在栈中的地址
}
结果如下:
ex@ex:~/test$ ./a.out
7FFEDE67D2E4
ex@ex:~/test$ ./a.out
7FFFCD469C84
ex@ex:~/test$ ./a.out
7FFD6501FE14
ex@ex:~/test$ ./a.out
7FFE10E29F94
ex@ex:~/test$ ldd a.out
linux-vdso.so.1 (0x00007ffc2f368000)
libc.so.6 => /lib/x86_64-linux-gnu/libc.so.6 (0x00007fdf818c9000)
/lib64/ld-linux-x86-64.so.2 (0x00007fdf81ebc000)
ex@ex:~/test$ ldd a.out
linux-vdso.so.1 (0x00007fff33fbc000)
libc.so.6 => /lib/x86_64-linux-gnu/libc.so.6 (0x00007f8b8d00a000)
/lib64/ld-linux-x86-64.so.2 (0x00007f8b8d5fd000)
ex@ex:~/test$ ldd a.out
linux-vdso.so.1 (0x00007fff4a1bd000)
libc.so.6 => /lib/x86_64-linux-gnu/libc.so.6 (0x00007ff285a6f000)
/lib64/ld-linux-x86-64.so.2 (0x00007ff286062000)
ex@ex:~/test$ ldd a.out
linux-vdso.so.1 (0x00007ffc4d39e000)
libc.so.6 => /lib/x86_64-linux-gnu/libc.so.6 (0x00007f988480b000)
/lib64/ld-linux-x86-64.so.2 (0x00007f9884dfe000)
ASLR(Address space layout randomization)是一种针对缓冲区溢出的安全保护技术,通过对堆、栈、共享库映射等线性区布局的随机化,通过增加攻击者预测目的地址的难度,防止攻击者直接定位攻击代码位置,达到阻止溢出攻击的目的。据研究表明ASLR可以有效的降低缓冲区溢出攻击的成功率,如今Linux、FreeBSD、Windows等主流操作系统都已采用了该技术。
Linux检查是否开启ASLR,可用下面命令:
cat /proc/sys/kernel/randomize_va_space
如果/proc/sys/kernel/randomize_va_space里的值为0时,则表示ASLR关闭。
可用下面的命令手动关闭:
echo -n "0" > /proc/sys/kernel/randomize_va_space
-n表示不输出换行
Windows10强制开启ALSR,但是可以通过更改PE文件头里的Optional Header结构体里的DLL Characteristics字段,将DLL Characteristics字段的第7位设置为0即可关闭栈的ASLR,但是系统动态库的ALSR是强制开启的,也可以使用PEtools进行更改,如下图:
2、DEP
数据执行保护,默认栈的权限是可读、可写、不可执行。
gcc编译器默认开启该保护,编译时加上 -z execstack 则关闭该保护,-z noexecstack 是开启该保护。(-z 是传参给链接器,execstack是使目标文件的栈可以执行)
3、PIE
PIE(position-independent executable, 地址无关可执行文件)技术就是一个针对代码段.text, 数据段.*data,.bss等固定地址的一个防护技术。同ASLR一样,应用了PIE的程序会在每次加载时都变换加载基址。
gcc编译器 编译时加上-fpie -pie即开启 PIE,原先是默认不开启的,现在好像是默认开启,编译时加上 -no-pie 关闭PIE保护。没有开启的情况下.text, 数据段.*data,.bss等段的地址是固定的。
4、Stack Guard
编译器对栈溢出的一种保护机制,在函数执行时,先在栈上放置一个随机标识符,函数返回前会先检查标识符是否被修改,如果被修改则直接触发中断来中止程序,可以有效的防止栈溢出攻击。
gcc默认开启 Stack Guard ,编译时加上 -fno-stack-protector 参数就可以关闭 Stack Guard(CANARY)。
5、RELRO
relro 是一种用于加强对 binary 数据段的保护的技术。relro 分为 partial relro 和 full relro。参数 -z norelro 是关闭RELRO保护。
Partial RELRO
现在gcc 默认编译就是 partial relro,参数是 -z relro
部分区块(比如:.init_array .fini_array .jcr .dynamic .got)在被动态装载(初始化)后,就被标记为只读区块。
Full RELRO
gcc编译参数是-z relro -z now
拥有 Partial RELRO 的所有特性
所有导入的符号都在 startup time 被解析
关闭fastbin
#include
// mallopt(1, 0);
mallopt(M_MXFAST, 0);
禁止SYS_execve系统调用
#include
// prctl(38, 1LL, 0LL, 0LL, 0LL);
prctl(PR_SET_NO_NEW_PRIVS, 1LL, 0LL, 0LL, 0LL);
在Linux中,PR_SET_NO_NEW_PRIVS 当一个进程或者子进程设置了PR_SET_NO_NEW_PRIVS属性,则其不能访问一些无法share的操作,这是kernel 3.5后加的feature。
AddressSanitizer 内存访问越界检查
需要安装的库:libasan.x86_64,新版本的gcc可能还需要安装libubsan,虽然说AddressSanitizer是gcc的一部分,但这两库默认是没有安装的。
使用方法很简单,只要在编译程序时加上-fsanitize=address -fno-omit-frame-pointer两个编译选项即可,需要说明的是要使用系统自带的内存管理库,不能使用第三方的内存管理库,因为这个功能要拦截malloc,free等标准函数。gcc几个常用编译选项如下:
-fsanitize=address #开启地址越界检查功能
-fno-omit-frame-pointer #开启后,可以出界更详细的错误信息
-fsanitize=leak #开启内存泄露检查功能
Undefined Behavior Sanitizer 未知行为检测
UBSan有一些处理程序或魔术功能入口点,它们被称为未定义的行为。编译仪器代码通过适当注入检查;如果检查代码检测到UB,则调用这些处理程序。
它的一个gcc编译标志(-fsanitize=undefined),用于添加运行时检测代码。
0
0
vote
Article Rating
扫一扫
2654
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
