win10 Dynamic Value Relocation Table Retpoline解析

最新推荐文章于 2024-04-19 16:48:52 发布
最新推荐文章于 2024-04-19 16:48:52 发布
阅读量754 收藏
点赞数
分类专栏: 杂谈 文章标签: Retpoline rfg 动态重定位表
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhuhuibeishadiao/article/details/110172123
版权

前言:

   在CVE-2017-5715漏洞曝出之后,微软做了一系列的措施来缓解,并在win10 1809(17763)之后会默认启用了Retpoline或导入优化,这取决于用户设置或cpu支持情况,也有两个都不启动的,但KASLR总是启动的,启动KASLR,会替换pte的旧值到随机化后的值,不过即使不能启用Retpoline,也会启动导入优化(1809之后),启用RetPoline或导入优化之后,winload.exe在加载ntos和hal.dll时,会替换一些指令,pe格式也发生了部分改变(win8.1已改变,后续只是增加).获取启用状态可调用ZwQuerySystemInformation的201号功能查询(>=1803版本),结构体定义如下:

typedef struct _SYSTEM_SPECULATION_CONTROL_INFORMATION
{
    struct
    {
        ULONG BpbEnabled : 1;
        ULONG BpbDisabledSystemPolicy : 1;
        ULONG BpbDisabledNoHardwareSupport : 1;
        ULONG SpecCtrlEnumerated : 1;
        ULONG SpecCmdEnumerated : 1;
        ULONG IbrsPresent : 1;
        ULONG StibpPresent : 1;
        ULONG SmepPresent : 1;
        ULONG SpeculativeStoreBypassDisableAvailable : 1;
        ULONG SpeculativeStoreBypassDisableSupported : 1;
        ULONG SpeculativeStoreBypassDisabledSystemWide : 1;
        ULONG SpeculativeStoreBypassDisabledKernel : 1;
        ULONG SpeculativeStoreBypassDisableRequired : 1;
        ULONG BpbDisabledKernelToUser : 1;
        ULONG SpecCtrlRetpolineEnabled : 1;
        ULONG SpecCtrlImportOptimizationEnabled : 1;
        ULONG Reserved : 24;
    } SpeculationControlFlags;
} SYSTEM_SPECULATION_CONTROL_INFORMATION, *PSYSTEM_SPECULATION_CONTROL_INFORMATION;

 

DVRT:

    全名Dynamic Value Relocation Table,此表记录需要替换的指令的指针,当然,系统也可以选择不进行替换,因为这些镜像在编译时,会留出一些空隙,比如:

call qword ptr[__imp__func]
nop

即使不替换,也不会影响正常执行.

在开启pchunter,windows kernel explorer 内核钩子扫描时,会扫出大量钩子(pchunter最新版已不再扫ntos).

查看sdk 1909 ntimage.h(win8.1时就存在一些),可发现有新的结构体,如下

typedef struct _IMAGE_LOAD_CONFIG_DIRECTORY64 {
    xxxxxxxxxxxxx
    DWORD      GuardFlags;
    IMAGE_LOAD_CONFIG_CODE_INTEGRITY CodeIntegrity;
    ULONGLONG  GuardAddressTakenIatEntryTable; // VA
    ULONGLONG  GuardAddressTakenIatEntryCount;
    ULONGLONG  GuardLongJumpTargetTable;       // VA
    ULONGLONG  GuardLongJumpTargetCount;
    ULONGLONG  DynamicValueRelocTable;         // VA
    ULONGLONG  CHPEMetadataPointer;            // VA
    ULONGLONG  GuardRFFailureRoutine;          // VA
    ULONGLONG  GuardRFFailureRoutineFunctionPointer; // VA
    DWORD      DynamicValueRelocTableOffset;
    WORD       DynamicValueRelocTableSection;
    WORD       Reserved2;
    ULONGLONG  GuardRFVerifyStackPointerFunctionPointer; // VA
    DWORD      HotPatchTableOffset;
    DWORD      Reserved3;
    ULONGLONG  EnclaveConfigurationPointer;     // VA
    ULONGLONG  VolatileMetadataPointer;         // VA
    ULONGLONG  GuardEHContinuationTable;        // VA
    ULONGLONG  GuardEHContinuationCount;
} IMAGE_LOAD_CONFIG_DIRECTORY64, *PIMAGE_LOAD_CONFIG_DIRECTORY64;

typedef struct _IMAGE_PROLOGUE_DYNAMIC_RELOCATION_HEADER {
    BYTE       PrologueByteCount;
    // BYTE    PrologueBytes[PrologueByteCount];
} IMAGE_PROLOGUE_DYNAMIC_RELOCATION_HEADER;
typedef IMAGE_PROLOGUE_DYNAMIC_RELOCATION_HEADER UNALIGNED * PIMAGE_PROLOGUE_DYNAMIC_RELOCATION_HEADER;

typedef struct _IMAGE_EPILOGUE_DYNAMIC_RELOCATION_HEADER {
    DWORD      EpilogueCount;
    BYTE       EpilogueByteCount;
    BYTE       BranchDescriptorElementSize;
    WORD       BranchDescriptorCount;
    // BYTE    BranchDescriptors[...];
    // BYTE    BranchDescriptorBitMap[...];
} IMAGE_EPILOGUE_DYNAMIC_RELOCATION_HEADER;
typedef IMAGE_EPILOGUE_DYNAMIC_RELOCATION_HEADER UNALIGNED * PIMAGE_EPILOGUE_DYNAMIC_RELOCATION_HEADER;

typedef struct _IMAGE_IMPORT_CONTROL_TRANSFER_DYNAMIC_RELOCATION {
    DWORD       PageRelativeOffset : 12;
    DWORD       IndirectCall       : 1;
    DWORD       IATIndex           : 19;
} IMAGE_IMPORT_CONTROL_TRANSFER_DYNAMIC_RELOCATION;
typedef IMAGE_IMPORT_CONTROL_TRANSFER_DYNAMIC_RELOCATION UNALIGNED * PIMAGE_IMPORT_CONTROL_TRANSFER_DYNAMIC_RELOCATION;

typedef struct _IMAGE_INDIR_CONTROL_TRANSFER_DYNAMIC_RELOCATION {
    WORD        PageRelativeOffset : 12;
    WORD        IndirectCall       : 1;
    WORD        RexWPrefix         : 1;
    WORD        CfgCheck           : 1;
    WORD        Reserved           : 1;
} IM
最低0.47元/天 解锁文章
zhuhuibeishadiao
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
浅谈XEN中Retpoline的利用
wangwoshida的专栏
04-28 1210
圈内人士都知道Spectre2的漏洞有若干解决方案,目前最优化的当然是retpoline方式,几乎没有性能损耗,另一种次之的是通过更新微码打开软件层对BTB硬件单元的控制,这种方式有10%-15%的性能损耗。但是retpoline也并非万能,在Skylake架构以上的Intel x86处理器中还有RSB相关的漏洞导致这种方式只在Skylake之前的架构中可用。而AMD则更倾向于lfence这种ba...
RETPOLINE
Zarle的博客
01-21 6527
我的任务是移植系统,将CentOS5.8的运用程序和驱动在CentOS6.8中重新编译并需要正常运行,在此过程中遇到一个模块加载的问题,特此记录下来 问题如下: 我的内核模块名为switcher.ko 进入到内核模块文件夹目录中,开始加载模块 insmod switcher.ko 提示错误 insmod: error inserting 'switcher.ko': -1 Unkn...
PE文件学习笔记(四):重定位(Relocation Table解析
热门推荐
Apollon_krj的博客
08-18 1万+
1、重定位的作用重定位(Relocation Table)用于在程序加载到内存中时,进行内存地址的修正。为什么要进行内存地址的修正?我们举个例子来说:test.exe可执行程序需要三个动态链接库dll(a.dll,b.dll,c.dll),假设test.exe的ImageBase为400000H,而a.dll、b.dll、c.dll的基址ImageBase均为1000000H。 那么操作系统的
Spectre-v2 以及 Linux Retpoline技术简介
最新发布
小立仔
04-19 1328
Spectre-v2 以及 Linux Retpoline技术简介
PE文件解析(5):重定位详解
ylh的博客
11-02 1457
1、重定位的作用 重定位(Relocation Table)用于在程序加载到内存中时,进行内存地址的修正。 重定位通过IMAGE_BASE_RELOCATION的结构体。 重要字段通过重定位的大小可以定位可以确定这个中有多少个数据。通过 SizeOfBlock - 0x8 可以得到DWORD型偏移的总大小,偏移数据占据2个字,因此再除以2可以得到偏移数据的个数。注意:当我们得到某个偏移数据后,他只是个RVA,还需要加上VirtualAddress才是它真正的地址。 运行可得:我们的重定位不止
Retpoline 一种分支目标注入的缓解措施
chi's blog
12-19 1075
继续Meltdown && Spectre安全漏洞的相关分析,本文关注V2 patch中引入的retpoline技术。
obj-file-relocation.rar_obj 解析
09-21
实例分析可重定位文件中符合的解析定位过程。初学实例易于理解。
ARM Architecture C 语言寻址解析
12-12
在U-Boot Relocation解析部分,我们将深入探讨U-Boot如何识别需要重定位,如何更新指令和数据的地址,以及如何在运行时调整GOT以适应新的内存布局。这涉及到对ELF格式的理解,特别是针对ARM架构的ELF规范。 总...
Address relocation for Freescale M52259
12-12
Documentation for how to relocation image in ROM or RAM. 针对飞思卡尔M52259板子资源重新定位。
relocation does not fit in 24 bits 由来及对策
07-29
gcc编译PPC指令集代码时候可能遇到的问题,vxWorks loadModule也可能遇到的问题。
Windows 10 内核漏洞利用防护及其绕过方法
01-05
介绍了了 Windows 10 1607 和 1703 版本中引⼊入的针对内核漏漏洞洞利利⽤用的防护措施,在此基础上将给出相应的绕过⽅方案, 从⽽而使我们能够重新获得内核态下的 RW primitives,并进⼀一步实现 KASLR 绕过以及内核中 shellcode 的执⾏行行。
《操作系统导论》 知识总结 第16章 分段
jzb的博客
05-18 961
利用基址和界限寄存器将不同进程重定位到不同的物理内存区域存在一个问题:栈和堆之间,有一大块“空闲”空间。
Windows程序调试----第三部分 调试技术----第9章 内存调试
tiewen的专栏
04-19 5365
第9章内存调试     能够方便高效地进行动态内存分配,是C++编程语言的重要优点之一;而调试时容易错误使用动态分配的内存也是其最大的缺点之一。Windows程序也可能同样存在与系统资源泄漏或者堆栈相关的内存问题。内存问题是Windows程序错误的常见来源之一、而且如果没有合适的工具进行调试:它们将是最难以追踪到的错误之一。     动态内存分配错误有以下两种基本类型:内存错误和内存泄露。当一
c++ 在内存中加载 exe/dll (不使用CreateProcess、LoadLibrary 等 API)
LYSM
06-24 4763
背景 在网上搜索了很多病毒木马的分析报告,看了一段时间后,发现还是有很多病毒木马都能够模拟PE加载器,把DLL或者是EXE等PE文件,直接从内存中直接加载到自己的内存中执行,不需要通过API函数去操作,以此躲过一些杀软的检测。 程序实现原理 首先,在EXE文件中,根据PE结构格式获取其加载映像的大小SizeOfImage,并根据SizeOfImage在自己的程序中申请一块可读、可写、可执行的内存,那么这块内存的首地址就是EXE程序的加载基址 然后,根据EXE中的PE结构格式获取其映像对齐大小Section
09动态库的设计和实现
lzjsqn的专栏
04-07 2120
动态库的设计和实现动态库的设计和实现 基础概念 Win32环境下动态链接库DLL编程原理 1导出和导入函数的匹配 2与DLL模块建立链接 3使用符号名链接与标识号链接 4编写DllMain函数 5模块句柄 6应用程序怎样找到DLL文件 7调试DLL程序 8DLL分配的内存如何在EXE里面释放 VS2013 配置动态库工程 1 新建DLL项目 2测试项目的配置 第一套API函数的动态库程序 1 动态
self-mapping page tables
IX2700123456的博客
09-14 287
1. x86 10-10-12分页   很久之前就听说过页的自映射机制,但始终不是很理解。直到昨天读了《Windows内核原理与实现》中内存管理一章才明白了其设计的思想。所以准备记录下来自己的理解。   首先我准备先从最简单的x86两级分页开始(x86 PAE\x64分页准备以后在写),首先x86未开启PAE模式的情况下最大能够索引4GB大小的空间,由于是10-10-12分页,...
matlab relocation
09-05
MATLAB搬迁是指将MATLAB软件及其相关数据和文件从一个地方搬到另一个地方的过程。这个过程可能因为不同的原因而发生,比如机器更换、迁移至不同地点、或者需要在多台计算机间共享MATLAB环境。 在进行MATLAB搬迁时,需要注意以下几点: 首先,备份所有重要的MATLAB文件和数据。这包括所有的.m文件、.mat文件、脚本、函数和与MATLAB环境相关的自定义工具箱。确保在搬迁过程中,所有的文件和数据都得到了妥善的保存,以防丢失或损坏。 其次,安装新的MATLAB软件。如果在搬迁的过程中需要更换计算机,需要重新安装MATLAB软件。在安装过程中,按照系统要求操作,并选择所需的组件和工具箱进行安装。 然后,将备份的文件和数据导入新的MATLAB环境。这可以通过复制和粘贴、导入和加载等方法完成。确保在导入过程中文件的完整性和准确性。 最后,测试新的MATLAB环境。运行一些已存在的MATLAB代码和数据,确保新环境和以前的环境一样正常工作。如果发现任何问题,需要尽快解决并修复。可以参考MATLAB的官方文档和在线社区,寻求帮助和支持。 总之,MATLAB搬迁是一个需要谨慎处理的过程。通过备份、安装、导入和测试等步骤,可以确保顺利完成搬迁,并保持原有MATLAB环境的稳定性和一致性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值