Archive for the ‘内核技术’ Category

解读Linux安全机制之栈溢出保护

作者:椒图实验室
转载请注明出处:http://blog.jowto.com

0x00 概述

栈溢出保护是一种缓冲区溢出攻击缓解手段,当函数存在缓冲区溢出攻击漏洞时,攻击者可以覆盖栈上的返回地址来让shellcode能够得到执行。当启用栈保护后,函数开始执行的时候会先往栈里插入cookie信息,当函数真正返回的时候会验证cookie信息是否合法,如果不合法就停止程序运行。攻击者在覆盖返回地址的时候往往也会将cookie信息给覆盖掉,导致栈保护检查失败而阻止shellcode的执行。在Linux中我们将cookie信息称为canary(以下统一使用canary)。
gcc在4.2版本中添加了-fstack-protector和-fstack-protector-all编译参数以支持栈保护功能,4.9新增了-fstack-protector-strong编译参数让保护的范围更广。以下是-fstack-protector和-fstack-protector-strong的区别:

参数 gcc支持版本 说明
-fstack-protector 4.2 只为局部变量中包含长度超过8-byte(含)的char数组的函数插入保护代码
-fstack-protector-strong 4.9 满足以下三个条件都会插入保护代码:1.局部变量的地址作为赋值语句的右值或函数参数;2.局部变量包含数组类型的局部变量,不管数组的长度;3.带register声明的局部变量

Linux系统中存在着三种类型的栈:

  1. 应用程序栈:工作在Ring3,由应用程序来维护;
  2. 内核进程上下文栈:工作在Ring0,由内核在创建线程的时候创建;
  3. 内核中断上下文栈:工作在Ring0,在内核初始化的时候给每个CPU核心创建一个。

0x01 应用程序栈保护

1. 栈保护工作原理

下面是一个包含栈溢出的例子:

/* test.c */
#include <stdio.h>
#include <string.h>

int main(int argc, char **argv)
{
    char 
阅读全文
Posted on 三月 2, 2016 at 下午10:31 by admin · Permalink · Comments Closed
In: 内核技术

FltSetSecurityObject引起的Win2003Sp2死锁分析

作者:椒图实验室
转载请注明出处:http://blog.jowto.com

0x00 前言

Minifilter是微软提供的开发Windows文件过滤驱动的一个框架,像安全防护类软件都有用到它。我们在客户的环境里发现了一个由fltmgr导致服务管理器死锁的bug。客户的环境是Win2003 SP2 x64,该服务器上安装了椒图的主机加固产品和某杀毒软件。问题来了,每次杀毒软件更新的时候都会导致服务器黑屏。经过我们排查发现是服务管理器的某个线程在等待杀毒软件的驱动卸载完成,但该线程一直无法完成卸载,好像是死锁了。最后我们找到了FltSetSecurityObject函数导致了死锁。

0x01 FltSetSecurityObject 实现原理

FltSetSecurityObject函数是FltMgr中的一个函数,它用来设置对象的ACL,它的函数原型为

NTSTATUS FltSetSecurityObject(
    IN PFLT_INSTANCE  Instance,
    IN PFILE_OBJECT  FileObject,
    IN SECURITY_INFORMATION  SecurityInformation,
    IN PSECURITY_DESCRIPTOR  SecurityDescriptor);

该函数从Windows 2000就提供了,但是从Windows Vista开始才支持,之前的版本如果调用该函数会返回错误码STATUSNOTIMPLEMENTED表示该Windows版本不支持这个功能。详见MSDN的说明: https://msdn.microsoft.com/en-us/library/windows/hardware/ff544538(v=vs.85).aspx。

我们以Windows 2003 SP2 X86(3790)下的fltmgr.sys(md5:f978277ef786532195cdd9f88e908632)作为分析对象,先看看FltSetSecurityObject函数的实现

NTSTATUS FltSetSecurityObject(
    IN PFLT_INSTANCE  Instance,
    
阅读全文
Posted on 一月 30, 2016 at 下午2:55 by admin · Permalink · Comments Closed
In: 内核技术
友情链接