基于Windows的结构化异常处理漏洞利用技术

论述基于Windows的结构化异常处理(SEH)及相关保护机制,从攻击者的角度总结SEH漏洞利用技术。利用堆地址或保护模块之外的地址覆盖SEH句柄指针,绕过SafeSEH机制,伪造SEH链,绕过SEHOP机制,并分析使程序执行流程定位到Shellcode的方法。实例验证了SEH漏洞利用技术的有效性。

“结构化异常处理机制”在实际开发中的应用

本文通过对结构化异常处理机制的分析和论述,介绍了在Microsoft Windows平台上开发具有高度稳定性和可靠性的应用软件的方法。

Windows的结构化异常处理

文章讨论了Windows的结构化异常处理机制。Windows中的结构化异常处理包括异常处理和终止处理。结合C语言的语法结构,详细讨论使用异常处理和终止处理捕获和处理异常的原理和方法。

Linux下实现Windows的结构化异常处理

针对Linux环境下对于异常处理支持的不足,提出了一种解决方案,实现了类似于Windows平台下的结构化异常处理技术,使程序可以更加方便地处理异常,这样提高了代码的健壮性和可维护性。

使用异常处理完成硬件I／O程序向NT／2000移植

本文就WindowsNT/2000中用户模式应用程序执行IN/OUT指令引起的操作系统异常的问题，讨论了利用集成于操作系统中的结构化异常处理机制捕获和处理异常的原理和方法，给出了由用户模式应用程序引起的I/O异常处理的应用实例，并讨论了该方法在实时控制程序向WindowsNT/2000上移植中的应用。

分支混淆中的条件异常代码构造研究

当前分支混淆技术通过构造条件异常代码和异常处理替代条件跳转指令,隐藏分支选择指令的地址,提高约束条件获取的难度,从而对抗符号执行。当前方法构造的条件异常代码中,关键数据具有二值性问题,有利于分支混淆的检测、发现和约束条件获取,降低了混淆的隐蔽性和与符号执行的对抗性;基于该缺点,提出一种使关键数据具有多样性特征的条件异常代码构造方法,增加了混淆的隐蔽性和约束条件的获取难度,提高分支混淆对抗符号执行的强度;通过结构化异常处理实现了基于新型条件异常代码构造的分支混淆原型系统,并对混淆进行了测试和分析。

基于VMP与SEH的地图编辑回退/重做机制

地图编辑是地图制图的重要工作之一。针对地图编辑的无限制回退/重做问题,采用虚拟内存保护和结构化异常处理技术,设计了地图文档动态存储模型,通过将地图文档数据和状态变更数据存储于系统虚拟内存的方法,高效探测文档状态变更并重构文档;借鉴事务机制,有效组合地图编辑操作,实现了地图编辑操作的无限制回退/重做,提高了地图编辑回退/重做的执行效率。

对WehnTrust入侵防御功能的测试与分析

为了验证WehnTrust是否具有预期的检测和防御缓冲区溢出攻击的性能,设计了相关实验对其进行了测试。对该入侵防御系统的源代码进行了分析、调试,在此基础上,使用开源溢出框架Metasploit Framework进行了5种攻击实验,并针对WehnTrust所具有的特性,搭建实验环境,模拟进行了C++虚函数攻击实验、结构化异常处理攻击实验和格式化字符串攻击实验。通过分析、总结实验结果表明,WehnTrust并不完全具备研发者所声称的入侵防御性能。

基于缓冲区溢出的网络渗透技术的实现

作为信息安全防御技术的对立面,网络渗透技术在信息安全领域里扮演着重要的角色.缓冲区溢出技术是网络渗透最基本的技术之一,笔者对目前流行的几种网络渗透技术进行了介绍,分析了缓冲区溢出的基本原理,研究了在Windows环境中基于缓冲区溢出的网络渗透的具体实现,提出了针对缓冲区溢出攻击的网络安全防治策略.

Win32平台下缓冲区溢出模型及其对抗策略

文章引入了Serv_UMDTM漏洞实例,分析了该漏洞的特点,构建了对它的攻击程序。通过总结对此漏洞的攻击过程,提出了Windows系统下缓冲区溢出攻击的通用模型,并介绍了模型中各个模块的具体功能以及依据此模型进行攻击的一般流程,利用此模型建立了Real实例漏洞的攻击程序,展示了攻击模型的正确性和指导性,最后针对此模型提出了缓冲区溢出漏洞的防治方法和策略。

Windows Vista的栈保护机制

Windows Vista应用的栈保护机制降低了利用栈溢出漏洞的可能性。该文分析Windows Vista中与栈溢出漏洞利用相关的3个安全机制:栈溢出检测、安全结构化异常处理(SAFESEH)和随机分配地址空间技术(ASLR)。结合实例研究Windows Vista抵御栈溢出漏洞被恶意利用的能力,针对不足之处提出了改进方法。

基于SEH的漏洞自动检测与测试用例生成

SEH即结构化异常处理,是Windows操作系统提供给程序设计者处理程序错误或异常的途径。然而SEH的链式处理方式使得程序中可能存在相应漏洞。针对该问题,为提升程序安全性,提出一种基于SEH的漏洞自动测试用例生成方法。首先判断程序是否存在基于SEH被攻击的漏洞风险性,若存在则构建和调整测试用例约束,并自动求解生成相应测试用例。该方法一方面扩展了当前的自动测试用例生成模式,另一方面可在GS保护开启时仍能生成有效测试用例。最后通过实验验证了该方法的有效性。

基于Python的SEH漏洞渗透模块实现

缓冲区溢出漏洞攻击是通过修改SEH链表中内容,改变原代码的执行流程,转而执行恶意代码来实现的。以文件分享系统软件为例,介绍了SEH漏洞挖掘过程、分析了漏洞产生原因、漏洞利用原理。具体阐述了基于Python语言的SEH漏洞渗透模块开发步骤,最终实现了利用SEH漏洞远程控制客户端,为基于Python的SEH漏洞渗透开发提供了通用的代码模板。

向PE文件中插入代码技术的研究

PE文件格式是Windows操作系统引入的可执行文件格式。论文介绍windows平台下PE文件的基本结构。重点阐述了在不重编译源码的前提下实现代码插入技术所涉及的基本任务：把代码插入到PE文件中可用的空闲空间或者在文件尾部添加一个新的节来插入代码；如何用一般方法钩住程序的控制和和重定位插入代码；插入代码如何获取对其有用的windows API函数的地址。向PE文件插入外部代码技术的研究是很有价值的，它对反PE型病毒和软件加壳技术的研究都很有用。

自定义ASSERT宏

提出修改标准的ASSERT宏的方法,对断言进行改进。详细分析在某些场合, 标准断言无法发挥作用的原因,通过分析Windows下的结构化异常处理机制给出修改方案;为了方便进一步修改断言对话框的显示内容和功能,重写调用断言对话框函数。

一种业务无关型的撤销重做技术

本文提出的撤销重做技术是一种基于内存页面差异值运算的方式,剥离与实际业务的耦合。从而使得撤销重做模块化并具备可复用性。这种技术可辅助开发者简单、快速地开发相关业务功能的撤销重做。