JugglerShu.Net » SEH http://programming.jugglershu.net/wp Nothing But Programming Wed, 15 Apr 2020 08:11:15 +0000 ja hourly 1 https://wordpress.org/?v=3.9.40 情報の伝わり方 http://programming.jugglershu.net/wp/?p=598 http://programming.jugglershu.net/wp/?p=598#comments Fri, 26 Mar 2010 17:51:00 +0000 http://programming.jugglershu.net/wp/?p=598 続きを読む ]]> CanSecWest2010で話したことが少しだけ下の記事で参照されている。
問題は、ちょっと書いていることが、僕の言ったことと変わってしまっているということ。
“SEH OverwriteでASLRとDEPやその他のメモリプロテクションがバイパスできる”みたいなことを言ったように書かれているが、僕が言ったことの中にはASLRは含まれていない。
実際に、この発表の結論は、ASLRがこれらのバイパスを防ぐために重要な役割をしているということだった。スライドを一枚使ってきちんと説明したのに・・・。
おそらく、会場にいた技術的なバックグラウンドがある人たちにはきちんと伝わったはずだと思う。実際にその後のディスカッションでも何も認識に違いはなかった。
この前も、一部のニュースでASLRとDEP回避のゼロデイが出たみたいなのがあって、実際にはASLR回避は含まれていなかった。
話はだんだん大きくなってしまうのかもしれない・・・。
ところで、ASLRは単純に回避するのは難しい。
SEH Overwriteの場合、SEHOPと組み合わせると、かなり効果的だる事は間違いない。
ただ、ここの記事でも書かれているように、難しいことと不可能なことは違う。
実際にはDEP+ASLRの回避方法自体は例がある。まあただこれもSEHOPを組み合わせると難しくなる。
ASLR+SEHOP回避も、少しはExploit確率をあげるような方法はあるかもしれない。そのあたりを今度は調べてみようか。
]]> http://programming.jugglershu.net/wp/?feed=rss2&p=598 0 SafeSEHとSoftware DEP http://programming.jugglershu.net/wp/?p=613 http://programming.jugglershu.net/wp/?p=613#comments Mon, 17 Aug 2009 15:41:00 +0000 http://programming.jugglershu.net/wp/?p=613 続きを読む ]]> SEH関連の情報をひたすらに収集しているのだけれど、いまいちSafeSEHとSoftware DEPとの関係性が分からない。
あるところでは全く同じ物だと書いてあったり、そうでないところもあったり。全く関係がないわけではないことは確かなのだけど。
SafeSEHオプションがなくてもSoftware DEPの一部は機能する気がするし、一方でSoftware DEPを実行属性なしメモリを例外ハンドラとして呼ばない機能とすれば、SafeSEHオプションだけでも意味のある物になる(登録されている例外ハンドラしか呼ばないという機能になるから)。

いまのところ、僕のイメージは、別々の物だけれどどちらもSEHを攻撃から保護してくれる機能という感じ。
でもなんか違うのかも。どこからどこまでがSafeSEHで、どこからどこまでがSoftware DEPなのかはっきりしてほしいと思うのだけれど・・・。

まあ、もうすぐ整理して書かなくてはいけないので、これから必死になっていろいろ読んで理解するしかない。

]]> http://programming.jugglershu.net/wp/?feed=rss2&p=613 0 SEH and SEHOP 現在の疑問 とりあえず解決? http://programming.jugglershu.net/wp/?p=619 http://programming.jugglershu.net/wp/?p=619#comments Thu, 16 Jul 2009 15:42:00 +0000 http://programming.jugglershu.net/wp/?p=619 続きを読む ]]> 前の投稿からちょっとしか時間がたってないけど、もう一度読み返して解決したかなぁといった感じ。
uninformedの方のPDFには、スタック上の_EXCEPTION_REGISTRATION_RECORDのnextを0xffffffffに攻撃者が書き換えたらどうなるか、ということを考察してあって、その場合はpop,pop,ret命令に飛ばすことで、このnextのコードを実行するという利点が生かせなくなるため、そうする意味がなくなると書いてある。これが僕の考えていたことであって、そうなんだったら、わざわざ終端用フレームを入れる必要がない。でも、さらに付け加えて、それでも何らかのコードを任意に実行されることは確かなので、念のためにランダムな終端フレームを入れてチェックするように下ほうがいい、と言っている。

つまりは念のためにそうしているという感じなのかもしれない。まあ、pop,pop,retを利用できないとなれば、基本的にはスタックオーバーフローならリターンアドレス書き換えの方が素直な方法だし、SEH Overwritingの利点がなくなっちゃうし。

とりあえず、こんな感じで解決と言うことにしておきます。

]]> http://programming.jugglershu.net/wp/?feed=rss2&p=619 0 SEH and SEHOP 現在の疑問 http://programming.jugglershu.net/wp/?p=620 http://programming.jugglershu.net/wp/?p=620#comments Thu, 16 Jul 2009 15:17:00 +0000 http://programming.jugglershu.net/wp/?p=620 続きを読む ]]> SEHについて今いろいろ調べている。そのうちまとめてこのサイトにも載せる予定。
最初は単純にSEHの仕組みを知りたかったのだけれど、だんだんと深くなってしまい、
まずは下のを読んで
http://uninformed.org/?v=5&a=2&t=pdf
それから
http://blogs.technet.com/srd/archive/2009/02/02/preventing-the-exploitation-of-seh-overwrites-with-sehop.aspx
を読んだ。
他にもいろいろ読んだのだけれど、とりあえずこの二つで今のところ疑問なのは、
なぜスレッドの開始時に終端例外フレームを挿入しておかないといけないのかということ。例外フレーム(_EXCEPTION_REGISTRATION_RECORD)のnextポインタが0xffffffffに突き当たればそれでOKなんじゃないのか?と思った。でもきっと違うんだろう。入れておかないといけないんだろうなぁ。でもなんでだか今のところよく分からない。

誰か分かる人教えてください。

]]> http://programming.jugglershu.net/wp/?feed=rss2&p=620 0