新攻击技术让DEP形同虚设
【.com 独家翻译】一位名叫“JDuck”的黑客发现了首个恶意PDF文件,它使用了相对较新的返回导向编程(Return Oriented Programming,ROP)技术绕过数据执行保护(Data Execution Prevention,DEP),这意味着通过DEP提供保护的气数已尽,即使之前该技术甚至一度成为主流的安全技术。
创新互联公司拥有10多年的建站服务经验,在此期间,我们发现较多的客户在挑选建站服务商前都非常的犹豫。主要问题集中:在无法预知自己的网站呈现的效果是什么样的?也无法判断选择的服务商设计出来的网页效果自己是否会满意?创新互联公司业务涵盖了互联网平台网站建设、移动平台网站制作、网络推广、按需网站建设等服务。创新互联公司网站开发公司本着不拘一格的网站视觉设计和网站开发技术相结合,为企业做网站提供成熟的网站设计方案。
最初,JDuck只是想将PDF利用程序集成到他的metasploit漏洞测试平台中,但在此过程中,他发现即使Adobe Reader 9.3默认开启了DEP保护,该利用程序仍然可以完美地工作。通过进一步检查后发现,该利用程序包含一个内存地址列表,每一个地址都指向函数的末尾,也就是说,在一些机器代码指令后跟着一个返回命令,这是一个相当狡猾的新攻击手段,至今尚未对外公开。
利用程序通常包含注入随机代码充当有效负载并操纵内存,普通程序访问到的就是这些注入代码。作为一种保护措施,现代操作系统都为数据存储区域设置了访问权限,让该区域只能读不可执行,在Windows中,这中保护技术就叫做数据执行保护(DEP)。
传统的绕过DEP的方法叫做返回到libc(return-to-libc),它不需要专门的代码,使用已加载的系统功能触发诸如程序启动的行为,但要求堆栈是通过巧妙的方式构造的,例如,程序中的返回调用跳到exec函数,exec函数然后找到堆栈上的参数,让它执行一个程序,如notepad.exe。
2007年,Hovav Shacham就提出了这种概念,包括从内存中已有的代码片段组装成攻击程序,每个代码片段后都跟有一个返回命令。在一篇论文中(http://cseweb.ucsd.edu/~hovav/papers/s07.html),作者解释这种编程技术是在图灵机环境下完成的,这意味着它允许执行任意程序。原则上,可以通过特殊的ROP编译器收集需要的代码片段。2009年,研究人员证明,即使符合哈弗体系结构的投票机也会被攻破。在今年的RSA大会上,Dino Dai Zovi做了一个关于“具有实用价值的返回导向编程”的演讲。
迄今为止,大多数恶意文件都试图利用程序漏洞安装被DEP阻止的恶意软件,这个新的攻击技术出现在恶意文件中并不是一个好兆头,它让DEP不再有效。DEP目前仅在64位系统中是开启的,它为Intel架构引入了“不执行”位,在32位系统上也得到了广泛使用,每个程序都允许决定是否要受DEP保护而运行,这也包括64位硬件上的32位Windows版本。
原文名:Exploit's new technology trick dodges memory protection 作者:crve
【.COM 独家翻译,转载请注明出处及作者!】
分享文章:新攻击技术让DEP形同虚设
文章网址:http://www.mswzjz.cn/qtweb/news46/222096.html
攀枝花网站建设、攀枝花网站运维推广公司-贝锐智能,是专注品牌与效果的网络营销公司;服务项目有等
声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 贝锐智能