вторник, 9 декабря 2008 г.

Не доверяйте адресу возврата

Это перевод Don't trust the return address. Автор: Реймонд Чен.

Иногда люди спрашивают: "так, я знаю как получить адрес возврата [в C++ можно использовать _ReturnAddress(); Прим. пер.: в Delphi прямого аналога нет, но можно использовать Caller из JCL]; как мне определить, какой DLL принадлежит этот адрес?"

Осторожней!

Даже, если вы определите, какой DLL принадлежит этот адрес возврата [используйте GetModuleHandleEx(GET_MODULE_HANDLE_EX_FLAG_FROM_ADDRESS)], то это не будет ещё означать, что именно эта DLL вызвала вас.

Популярный трюк: поискать в "доверяемой" DLL набор байтов, которые случайно совпадут с инструкцией, которую вы (атакующий) захотите выполнить. Например, это может быть что-то простое вроде инструкции "retd", которая довольно часто встречается. Атакующий сфабриковывает стековый фрейм, который, к примеру, для функции с двумя параметрами, выглядит вот так (прим. пер.: речь идёт о модели вызова stdcall, в которой параметры передаются в стеке):

доверяемый_адрес_возврата
параметр хакера 1
параметр хакера 2
код_возврата_хакера

После сборки такого фрейма атакующий просто переходит (jmp) на начало атакуемой функции.

Атакуемая функция смотрит в стек и видит там "доверяемый_адрес_возврата" - это некоторый адрес, который принадлежит доверяемой DLL. Поэтому функция наивно считает, что её вызвала доверенная DLL, поэтому она доверяет вызывающему и выполняет небезопасную операцию, используя параметры "параметр хакера 1" и "параметр хакера 2". Потом атакующая функция производит выход - т.е. вызывает "retd 8" и очищает параметры. Эта инструкция также переводит управление по адресу "доверяемый_адрес_возврата", который указывает на инструкцию retd в доверяемой DLL. Поэтому доверяемая DLL просто передаёт управление по адресу "код_возврата_хакера", и теперь хакер может использовать результат работы атакованной функции для продолжения своей подлой работы.

Вот почему вам следует насторожиться, когда кто-то говорит: "этот код проверяет, что вызывающему можно доверять..." - как они узнают, кто является настоящим вызывающим?

Комментариев нет:

Отправить комментарий

Можно использовать некоторые HTML-теги, например:

<b>Жирный</b>
<i>Курсив</i>
<a href="http://www.example.com/">Ссылка</a>

Вам необязательно регистрироваться для комментирования - для этого просто выберите из списка "Анонимный" (для анонимного комментария) или "Имя/URL" (для указания вашего имени и ссылки на сайт). Все прочие варианты потребуют от вас входа в вашу учётку.

Пожалуйста, по возможности используйте "Имя/URL" вместо "Анонимный". URL можно просто не указывать.

Ваше сообщение может быть помечено как спам спам-фильтром - не волнуйтесь, оно появится после проверки администратором.

Примечание. Отправлять комментарии могут только участники этого блога.