0x03 電腦管家XP防護的執(zhí)行流保護
早些年的漏洞攻擊代碼可以直接在��?臻g或堆空間執(zhí)行指令����,但近幾年��,微軟操作系統(tǒng)在安全性方面逐漸加強�����,DEP����、ASLR等防護手段的應(yīng)用�,使得攻擊者必須借助ROP等繞過手段來實現(xiàn)漏洞利用����。在ROP利用中,棧交換指令Stack pivot必不可少���。
針對ROP攻擊的防御長久以來是漏洞防御的一個難題�����,因為ROP指令在靜態(tài)層面分析與程序的正常指令流毫無差別�����,且運行時也是在合法模塊內(nèi)執(zhí)行��,因此極難防御�����。
管家漏洞防御團隊針對ROP利用的特點����,從整個程序的執(zhí)行流層面進行分析,研究出在動態(tài)運行時區(qū)分是合法指令流還是異常指令流的方法�,其思想與CFI不謀而合。
下邊就是一個由于錯位匯編形成的比較常用的棧交換指令
而實際正常的執(zhí)行流程是這樣的
以上是沒有開啟XP防護的情況
開啟電腦管家XP防護之后:
此時如果攻擊者依靠靜態(tài)分析時得到棧交換指令位置來執(zhí)行ROP攻擊的話���,會被執(zhí)行流保護邏輯發(fā)現(xiàn)異常��,后續(xù)攻擊則無法實現(xiàn)����。
0x04 尾聲
CFG防護方法需要在編譯鏈接階段來完成準(zhǔn)備工作�,同時需要操作系統(tǒng)的支持。CFI無需編譯時的幫助��,且不僅能夠防御call調(diào)用�,能夠?qū)θ繄?zhí)行流進行保護。但CFI需要插入大量的檢測點��,并且在執(zhí)行過程中檢測的頻率極高����,難免對程序執(zhí)行效率帶來影響�。
電腦管家XP版的防御方法相比于前兩者,對性能的影響更小��,但這種方法是針對舊版操作系統(tǒng)的緩解方案,通用性會打折扣��。所以建議廣大windows用戶盡量升級到最新操作系統(tǒng)��,享受全面的安全保護�����。而由于某些原因無法升級的用戶也不必擔(dān)心�,管家XP版會繼續(xù)提供最高的安全防護能力。
