新的页面保护层级:可读但不可执行

新的页面保护层级:可读但不可执行

作者:BlogUpdater |  时间:2020-07-04 |  浏览:502 |  评论已关闭 条评论

有时候,你可能会偷些懒
在动态生成某些可执行代码(shellcode)的时候,忘记去执行VirtualProtect(PAGE_EXECUTE)。对于i386这样的处理器来说,这样做并没有什么问题。因为这些处理器并没有带有一个”可读但不可执行”的工作模式,所以在页面上任何可以读取的东西,都是可以被执行的。

关于这个VirtualProtect
VirtualProtect是一个Win32 API,它会变更调用进程的指定页面的保护层级。
其函数原型如下:
BOOL VirtualProtect(
LPVOID lpAddress,
DWORD dwSize,
DWORD flNewProtect,
PDWORD lpflOldProtect
);

参数解析
lpAddress: 要改变保护层级的页面(内存)起始地址。
dwSize:页面(内存)大小。
flNewProtect:新的保护层级值。设置为PAGE_EXECUTE_READWRITE(0x40)时该内存页为可读可写可执行。全部可供设置的保护层级,请参考MSDN。
pflOldProtect:原内存保护层级地址。

返回值
页面保护层级修改成功时函数返回非0,修改失败则返回0。

以下代码可以将ShellCode所在的内存区的保护层级设置为可执行模式。
BOOL VirtualProtect(
ShellCode所在页面的起始地址,
ShellCode代码大小,
PAGE_EXECUTE_READWRITE,
指定一个可写入的地址
);

现在不行了
从Windows XP SP2开始,在支持这一模式的处理器上(根据官方文档,当前有AMD K8,安腾和AMD64),栈和堆将不可执行任何代码。如果你尝试在栈或者堆上执行代码,则处理器会产生一个异常并阻止代码的执行。换句话说,就是页面的执行保护特性将被强制应用在系统上。(实际上,我相信安腾版Windows XP已经启用了这项新的保护层级,所以如果曾经玩过这个系统,则应该会看到它。)

如果你是一个”好的”开发者,遵循有关页保护的所有行为准则,则这个行为变更对你没有任何的影响。但是如果你尝试欺骗或者绕开这一准则,并使用了针对特定硬件的实现细节,则你就可能有碰到些麻烦。

就权当一个预警吧。

评论已关闭。