5

我对 ASLR 很熟悉,但是今天我听到了一个关于在 Windows 中实现 ASLR 的新有趣事实。

如果进程 A 和 B 加载相同的 dll,为了优化性能,Windows 只会将其加载到物理内存一次,并且两个进程将通过共享页面共享同一个实例。

这是旧消息.. 但有趣的部分是进程 A 和 B 都将在相同的虚拟地址中加载共享库(为什么??)。

在我看来,任何本地攻击(例如权限提升)都可以通过以下方式轻松绕过 ASLR:

1. Create a new dummy process
2. Check the address of dlls of interest (kernel32, user32 ..)
3. Attack the privileged process and bypass ASLR with the information from step 2.

我使用 Olly 做了一些简单的测试,发现共享库确实加载在同一个虚拟地址中。

如果真的是这样,那么 ASLR 对本地开发毫无用处吗?

4

1 回答 1

5

你是对的,ASLR 对本地攻击者几乎没有防御作用。它主要用于阻止远程攻击中的硬编码地址。

编辑:我之前的回答中的一些细节是不正确的,尽管上面的观点仍然有效。启用 ASLR 的 DLL 的基地址实际上是以下两者的函数: (1) Windows 在启动时从一组 256 个可能值中选择的随机偏移量;(2)加载DLL的顺序,对于已知的DLL,在系统启动期间由会话管理器随机化。因此,仅知道随机偏移量不足以计算任意 ASLR 的 DLL 的基地址。但是,如果您能够直接观察共享内存中目标 DLL 的地址,正如您所描述的,那么无论如何,所有的赌注都没有了。

来源: http ://www.symantec.com/avcenter/reference/Address_Space_Layout_Randomization.pdf Windows 内部,第 6 版

于 2015-04-25T14:25:36.650 回答