.text:00411500 ; int __cdecl wmainCRTStartup()
.text:00411500 _wmainCRTStartup proc near              ; CODE XREF: startj
.text:00411500                 mov     edi, edi
.text:00411502                 push    ebp
.text:00411503                 mov     ebp, esp
.text:00411505                 call    j____security_init_cookie
.text:0041150A                 call    __tmainCRTStartup
.text:0041150F                 pop     ebp
.text:00411510                 retn
.text:00411510 _wmainCRTStartup endp

__tmainCRTStartup前调用___security_init_cookie进行全局___security_cookie初始化,___security_cookie开始时固定为0BB40E64Eh:

.data:00417014 ___security_cookie dd 0BB40E64Eh

___security_init_cookie负责___security_cookie初始化工作,首先将___security_cookie与0BB40E64Eh比较,相同则表示未初始化过,跳入初始化代码loc_411D01,否则向下执行。将___security_cookie和0FFFF0000h进行与操作,高4字节为0则跳入初始化代码loc_411D01,否则保存___security_cookie到ecx。

初始化代码中,首先取时间,分别与进程ID,线程ID,TickCount,性能计数器等异或,保证随机性,结果存入___security_cookie。到此全局的___security_cookie初始化完毕,并且初始化后在进程中这个值不再变化。

使用/GS选项编译,或使用了Windows SEH的代码,都会在CRT中加入 ___security_init_cookie。在受保护的函数中:

.text:00413200 var_4           = dword ptr -4
……
.text:0041321E                 mov     eax, ___security_cookie
.text:00413223                 xor     eax, ebp
.text:00413225                 mov     [ebp+var_4], eax

首先取 ___security_cookie与ebp异或存入eax,将eax值放到栈上ebp-4位置。与ebp异或保证了栈上cookie值不可预测。栈上的cookie是放在ebp&返回地址与本地变量之间,这样可以保护ebp&返回地址及以上地址空间不被覆写。

但保护不了本地变量,微软没有实现本地变量重排:

0106321E  mov         eax,dword ptr [___security_cookie (1067014h)]  
01063223  xor         eax,ebp  
01063225  mov         dword ptr [ebp-4],eax

int a = 10;
01063228  mov         dword ptr [ebp-0Ch],0Ah

int b = 2;
0106322F  mov         dword ptr [ebp-18h],2

char str[16];
printf("%p\n", str);
01063236  mov         esi,esp  
01063238  lea         eax,[ebp-30h]  
0106323B  push        eax  
0106323C  push        offset string "%s\n" (10657A0h)  
01063241  call        dword ptr [__imp__printf (10682ACh)]

受保护的函数返回前:

.text:00413283                 mov     ecx, [ebp+var_4]
.text:00413286                 xor     ecx, ebp        ; cookie
.text:00413288                 call    j_@__security_check_cookie@4 ;__security_check_cookie(x)

从栈上取出cookie与ebp异或,将还原后___security_cookie存入ecx,然后调用__security_check_cookie检查。

.text:00412A00 @__security_check_cookie@4 proc near    ; CODE XREF: __security_check_cookie(x)j
.text:00412A00
.text:00412A00 cookie          = dword ptr -4
.text:00412A00
.text:00412A00                 cmp     ecx, ___security_cookie
.text:00412A06                 jnz     short failure
.text:00412A08                 rep retn
.text:00412A0A ; ---------------------------------------------------------------------------
.text:00412A0A
.text:00412A0A failure:                                ; CODE XREF: __security_check_cookie(x)+6j
.text:00412A0A                 jmp     j____report_gsfailure
.text:00412A0A @__security_check_cookie@4 endp

__security_check_cookie函数将全局___security_cookie与ecx中存放的还原出的___security_cookie比较,若不同则表示发生了溢出,调用____report_gsfailure执行异常处理。

下面分析一下StackCookie绕过的可行性,有利条件:

1、__security_cookie可以从内存读到。
2、ebp与esp地址相邻,通过泄漏esp可猜测ebp。

不利条件:

1、程序检测到溢出,____report_gsfailure崩溃退出。
2、栈布局随机化,重新运行程序,ebp变化即上次泄漏的esp失效。

Hook掉____report_gsfailure等异常处理函数可以轻松绕过stack cookie,但已经能在目标系统执行代码,再写这个溢出就没什么意义了。

因为___security_cookie+ASLR的存在,Windows的栈溢出漏洞已经很难利用。覆盖SEH链这类方法虽然可行,但并不是获取了cookie值,所以不能算作对cookie机制的破解。

下面引用tombkeeper在微博上的一段话:

内存破坏类漏洞攻防对抗的发展形势大概会是这样:目前所有已知攻击方式在未来几年内被逐渐阻止或充分缓解,新的攻击方式将不仅难以被设计出来,而且实现过程也很复杂——如果没有相关研究作为基础,即使捕捉到野外样本,分析者甚至可能难以理解样本是如何被制作出来的。

___security_cookie机制的更多相关文章

  1. ___security_cookie机制,防止栈溢出

    从研究底层和汇编以来,已经多次接触到“栈溢出”这个名词了. 这次在汇编码中看到了个不明就里的 ___security_cookie ,查了下,原来是编译器的安全检查机制.转载一篇文章: 首先,secu ...

  2. security cookie 机制(2)--- 初始化___security_cookie

    在 cookie 检查中,必定先要取出初始的 cookie 值: 0011392E A1 14 70 11 00       mov         eax,dword ptr [___securit ...

  3. 笔记:Binder通信机制

    TODO: 待修正 Binder简介 Binder是android系统中实现的一种高效的IPC机制,平常接触到的各种XxxManager,以及绑定Service时都在使用它进行跨进程操作. 它的实现基 ...

  4. JAVA回调机制(CallBack)详解

    序言 最近学习java,接触到了回调机制(CallBack).初识时感觉比较混乱,而且在网上搜索到的相关的讲解,要么一言带过,要么说的比较单纯的像是给CallBack做了一个定义.当然了,我在理解了回 ...

  5. 谈谈DOMContentLoaded:Javascript中的domReady引入机制

    一.扯淡部分 回想当年,在摆脱写页面时js全靠从各种DEMO中copy出来然后东拼西凑的幽暗岁月之后,毅然决然地打算放弃这种处处“拿来主义”的不正之风,然后开启通往高大上的“前端攻城狮”的飞升之旅.想 ...

  6. 路由的Resolve机制(需要了解promise)

    angular的resovle机制,实际上是应用了promise,在进入特定的路由之前给我们一个做预处理的机会 1.在进入这个路由之前先懒加载对应的 .js $stateProvider .state ...

  7. Android权限管理之Permission权限机制及使用

    前言: 最近突然喜欢上一句诗:"宠辱不惊,看庭前花开花落:去留无意,望天空云卷云舒." 哈哈~,这个和今天的主题无关,最近只要不学习总觉得生活中少了点什么,所以想着围绕着最近面试过 ...

  8. Java学习之反射机制及应用场景

    前言: 最近公司正在进行业务组件化进程,其中的路由实现用到了Java的反射机制,既然用到了就想着好好学习总结一下,其实无论是之前的EventBus 2.x版本还是Retrofit.早期的View注解框 ...

  9. .NET Core采用的全新配置系统[10]: 配置的同步机制是如何实现的?

    配置的同步涉及到两个方面:第一,对原始的配置文件实施监控并在其发生变化之后从新加载配置:第二,配置重新加载之后及时通知应用程序进而使后者能够使用最新的配置.要了解配置同步机制的实现原理,先得从认识一个 ...

随机推荐

  1. 基于Vue + webpack + Vue-cli 实现分环境打包项目

    需求由来:我公司项目上线发布至服务器分为三个环境分别为测试环境.预发布环境.生产环境:前期做法是项目通过脚步打包时由脚步把域名和后缀名之类的全部替换成要发布的环境所需要的,因为我公司的项目比较大由许许 ...

  2. 浅谈MVVM

    MVVM 模式将 Presenter 改名为 ViewModel,基本上与 MVP 模式完全一致. 唯一的区别是,它采用双向绑定(data-binding):View的变动,自动反映在 ViewMod ...

  3. WebSphere隐藏版本号教程

    一.实施步骤 1.登陆WAS控制台,进入服务器列表界面. 2.选择一个server进到server配置页面. 3.选择进入“Web容器传输链”页面. 针对这4项都进行以下第4和第5步操作,以下以WCI ...

  4. windows7安装教程(vmware)

    这步是正确安装windows的关键,如果不设置那么安装时将不能识别出磁盘,造成安装不成功. 选择No进行自定义修饰,主要是保证C盘大小合适,其他盘可在安装完成之后再调整. 后续安装步骤全自动,完全不用 ...

  5. 【转】关于TCP 半连接队列和全连接队列

    摘要: # 关于TCP 半连接队列和全连接队列 > 最近碰到一个client端连接异常问题,然后定位分析并查阅各种资料文章,对TCP连接队列有个深入的理解 > > 查资料过程中发现没 ...

  6. 随机森林(Random Forest),决策树,bagging, boosting(Adaptive Boosting,GBDT)

    http://www.cnblogs.com/maybe2030/p/4585705.html 阅读目录 1 什么是随机森林? 2 随机森林的特点 3 随机森林的相关基础知识 4 随机森林的生成 5 ...

  7. Ubuntu上安装MySQL

    Ubuntu上安装MySQL非常简单只需要几条命令就可以完成.`````` sudo apt-get update sudo apt-get install mysql-server 会弹出提示,让输 ...

  8. ubuntu16.10安装搜狗输入法

    一.搜狗输入法安装 1.首先到搜狗输入法官网下载搜狗输入法,下载的是个deb文件. 搜狗输入法Linux版下载地址:http://pinyin.sogou.com/linux/?r=pinyin 2. ...

  9. C++构造函数和析构函数,以及构造函数特殊成员变量和函数的初始化

    body, table{font-family: 微软雅黑; font-size: 10pt} table{border-collapse: collapse; border: solid gray; ...

  10. react全家桶-服务端与客户端配置

    全家桶内装有: react - github react-router - github redux - github react-redux - github react-router-redux ...