System/Windows (12) 썸네일형 리스트형 Windows/메모리보호기법/MSDN 출처는 Microsoft 기술 블로그를 출처 하였습니다.https://blogs.technet.microsoft.com/askpfeplat/2017/04/24/windows-10-memory-protection-features/ CFG(Control Flow Guard) - 코드가 실행될때 그전에 이동할 위치가 유효한 점프 위치에 존재하는지 비트 맵 테이블과 비교하여 유효한 점프 위치에 나열되어 있지 않으면 프로세스를 종료시키고 멀웨어 실행을 차단함. - SysInternals ProcessExplorerView/ Select Columns / Process Image "Control Flow Guard"를 선택하여 항목에 추가. 윈도우 자체 전역 설정- [로컬 정책 설정] 컴퓨터 구성 \ 관리 템플릿 .. Windows/DEP보호기법/DEP기법 우회 DEP 기법DEP(Data Execution Prevention)란, 실행 권한이 없는 메모리 영역의 코드가 실행되지 못하도록 방지하는 기법스택 영역, 힙 영역의 실행 코드 방지 DEP의 우회- 초기 기법 : RTL 기법- 현재 기법 : ROP 기법RTL Chaining 기법-> DEP와 ASLR은 Exploit 방지의 핵심 DEP 종류- H/W 기반, S/W 기반최근 CPU에서는 대부분 H/W기반 지원옵션에 따라 여러 가지 방식으로 동작 DEP 옵션옵션설명Optin지정된 바이너리만 보호OptOut지정된 바이너리를 제외하고 모두 보호AlwaysOn모든 프로세스를 항상 보호AlwaysOff모든 프로세스를 보호하지 않음기본 동작 방식 windows 7 : OptIn 추가적으로 Permanent DEP 옵션 .. Windows/SEH보호기법/SafeSEH SEH overwrite Exploit- SEH Handler를 덮어씌워서 공격하는 방법 SafeSEH 검증 과정Handler의 주소값 검증등록된 핸들러인지 확인실행 여부 결정 SafeSEH 검증 과정 (세부)Handler의 주소가 스택인지 확인주소가 스택의 범위에 포함되어 있다면 호출 SafeSEH 검증 과정 (세부2)가리키는 주소가 현재 로드된 모듈의 주소그 모듈이 SafeSEH로 컴파일된 모듈이면 적절한 절차로 등록됬는지 검증 * 이때 PE헤더의 Load Configuration Directiory가 이용 SafeSEH 특징SEH는 옵션을 주었을 때만 동작특정조건에 맞는지만 검증 SafeSEH 우회SafeSEH 활성화는 컴파일러에 /SAFESEH옵션을 준 뒤 컴파일-> 단 하나의 모듈이라도 컴파일 .. System/Hacking/TEB 부터 함수를 구하는 과정. * 사용 툴 : Windbg* 실행 파일 : iexplorer.exe* 환경 : Windows 7 SP1 32bit - 프로세스 함수 주소값 구하기 접근 순서 (구조) TEB (Thread Enviorment Block) > PEB (Process Environment Block) > Ldr : PEB_LDR_DATA를 가리키는 포인터 PEB_LDR_DATA > DllBase : 모듈의 주소값 저장 - 첫번째 LDR_DATA 이므로 이 구조체는 실행파일 자체에 대한 정보를 담고 있다. - InMemoryOrderLinks 의 FLINK 값을 따라가다 보면 첫번째로 로드된 라이브러리인 ntdll.dll 파일정보가 들어 있는 두번째 LDR_DATA_TABLE_ENTRY를 만날 수 있다. 실제 접근 !teb .. 이전 1 2 다음
