Tsukasa Oi, profile picture
Uploaded byTsukasa Oi
PDF, PPTX2,045 views

Windows をより安全にする SafeSEH on MinGW

Embed presentation

Download as PDF, PPTX
Windows をより安全にする SafeSEH on MinGW 今ではほぼ役に立たない Tsukasa #01 (@a4lg)
自己紹介…は省略
自己紹介…は省略
自己紹介…は省略
自己紹介…は省略 MinGW!!
What is MinGW? • Windows 用のプログラムを GNU で作るためのツールチェーン + α – ほとんどの機能は本家 binutils/gcc で対応済 • 最近は 64-bit 向けフォークの mingw-w64 が面白い! – Windows 固有の機能にほとんど対応 – カーネルモードドライバも (一応) 作れる! – 自分もパッチを 2 個ほど投げました。
What is this? <?xml version="1.0" encoding="UTF-8"?> <xfdf xmlns="http://ns.adobe.com/xfdf/"> <overflow [omitted] hÐpàhhDbd [censored] Ô1ö1ÿGVh.exehcalc1æWj [censored] [omitted] ézÿÿÿëùÌÌ [censored] /></xfdf>
What is this? <?xml version="1.0" encoding="UTF-8"?> <xfdf xmlns="http://ns.adobe.com/xfdf/"> <overflow [omitted] hÐpàhhDbd [censored] Ô1ö1ÿGVh.exehcalc1æWj [censored] [omitted] ézÿÿÿëùÌÌ [censored] /></xfdf> • 情報セキュリティに関する問題の回答例 – 脆弱性のアドバイザリ (CVE-2004-0194) と Acrobat Reader のバイナリから exploit を書け – ファイルを開くと電卓を起動する。 入社試験前問題
Exploitation Process (1) OVERFLOW! 戻り 脆弱なバッファ アドレス
Exploitation Process (1) OVERFLOW! ポインタ 戻り 脆弱なバッファ 変数 アドレス • 戻りアドレスとの間にポインタ変数がある! – この部分をうまく回避しないと、戻りアドレスを 上書きしても制御を奪えない。 • オーバーフローの後もこの部分が複数回 参照されるので、攻略が少し難しい。
SEH overwrite • この攻撃には、Windows の例外処理機構を 悪用した exploit が使用されている。 • 構造化例外処理 (Structured Exception Handling) – x86 版ではスタックに、例外ハンドラのアドレスや 次の例外ハンドラを示す情報をスタックに積む。
SEH overwrite • この攻撃には、Windows の例外処理機構を 悪用した exploit が使用されている。 • 構造化例外処理 (Structured Exception Handling) – x86 版ではスタックに、例外ハンドラのアドレスや 次の例外ハンドラを示す情報をスタックに積む。 – この部分をうまく置き換えると、シェルコードが いとも簡単に実行されてしまう。 • スタックやヒープのアドレスを 細かく調べる必要がなくなる。
Exploitation Process (2) OVERFLOW! ポインタ 戻り SEH 脆弱なバッファ 変数 アドレス 構造体 • スタック上の SEH 構造体を上書きする – その後、むしろ積極的に例外を発生させる! – Google: pop-pop-ret – すると、SEH 構造体の一部がコードとして実行される。 • 脆弱性なのは変わらないが、SEH 上書きのせいで 攻略の難易度が飛躍的に下がってしまう…
What is this? <?xml version="1.0" encoding="UTF-8"?> <xfdf xmlns="http://ns.adobe.com/xfdf/"> <overflow [omitted] hÐpàhhDbd [censored] Ô1ö1ÿGVh.exehcalc1æWj [censored] [omitted] ézÿÿÿëùÌÌ [censored] /></xfdf> • 情報セキュリティに関する問題の回答例 – 脆弱性のアドバイザリ (CVE-2004-0194) と Acrobat Reader のバイナリから exploit を書け – ファイルを開くと電卓を起動する。 入社試験前問題
What is this? <?xml version="1.0" encoding="UTF-8"?> <xfdf xmlns="http://ns.adobe.com/xfdf/"> <overflow [omitted] hÐpàhhDbd [censored] Ô1ö1ÿGVh.exehcalc1æWj [censored] [omitted] ézÿÿÿëùÌÌ [censored] /></xfdf> • 情報セキュリティに関する問題の回答例 – 脆弱性のアドバイザリ (CVE-2004-0194) と Acrobat Reader のバイナリから exploit を書け – ファイルを開くと電卓を起動する。 入社試験前問題
SafeSEH! • SEH の例外ハンドラは、予め決まっている。 • なら、それを予め登録しておく = SafeSEH – Windows XP SP2 で対応した保護機能 (いわゆるソフトウェア DEP) – PE ファイル内に有効な例外ハンドラを格納する – それ以外のアドレスを例外ハンドラとして 指定された場合には、単に強制終了させる。 • 少なくとも、任意コード実行よりはマシ。
SafeSEH on MinGW (1) • アセンブラ (GNU as) – SafeSEH 関連の擬似命令を定義 • 一部 SEH 関連の擬似命令はすでに定義済 – オブジェクトファイルに SafeSEH 情報をエミット • リンカ (GNU ld) – オブジェクトファイルの SafeSEH 情報をリンク • コンパイラ (GCC) – SafeSEH 対応を示すマクロを定義。 • mingw-w64 の CRT では、SEH 情報を インラインアセンブラで (条件付き) 記述している。
SafeSEH on MinGW (2) • SafeSEH 情報 – COFF (.obj …) と PE (.exe …) で構造が違う! • COFF – @feat.00 シンボル • SafeSEH 対応を示す特殊シンボル (bit 0 = 1) – .sxdata セクション • 例外ハンドラのシンボル番号リスト • PE – IMAGE_LOAD_CONFIG_DIRECTORY 構造体 • 例外ハンドラのアドレスリスト
SafeSEH on GNU as (1) • 擬似命令: .safeseh_handler <symbol> – COFF の仕様上、ハンドラはシンボルで 参照できる必要がある。 – このハンドル時に .sxdata に シンボルのインデックスを追加する。 • アセンブル終了前 – @feat.00 シンボルを追加する • しかしこれはうまくいかない!
SafeSEH on GNU as (2) • Problem 1 : シンボル番号がズレる!? – COFF 仕様によれば、シンボルテーブルは 一定の規則でソートされる必要がある。 – 擬似命令解釈時にはこの番号がわからない。 • Solution 1 : シンボルを後で .sxdata に吐く – 擬似命令解釈時にはシンボル情報だけ リストに入れておき、最後にまとめて .sxdata セクションに吐き出す。 • 状況がさらに悪化した…
SafeSEH on GNU as (3) • Problem 2 : セクションもシンボルも弄れない – オブジェクトファイル処理最終段階では、 セクションの内容が固定されており、データの 追加が不可能。 – シンボルはここでも並び替えられていない… • 試行錯誤の末、なんとかできた!
SafeSEH on GNU as (4) • オブジェクトファイル処理時に、 COFF シンボルを強制的に並び替える。 – coff_renumber_symbols 関数は本来本当に最後に 使われるが、ここではその前に呼び出す! • .sxdata にダミーデータを追加しておき、 後で強制的に書き換える。 – 擬似命令解釈時にダミーのデータを .sxdata に吐く – 最終段階で、このデータを実際のものに置換する • これは再配置処理などでもやるので、 多分大丈夫だと思う。
SafeSEH on GNU as (5) • .sxdata セクションの属性は特殊 – IMAGE_SCN_LNK_INFO • BFD 部分に手を入れて、.sxdata セクションの 特殊扱いを追加する。 – .text や .bss などの特殊扱いと同様。 – ここへの変更は objdump などにも影響する。
SafeSEH on GNU ld • .sxdata セクションを削除する – PE ではもはや必要ないため – リンカスクリプトの一部 (/DISCARD/) に追記 • オプション: --safeseh – リンク時に SafeSEH を有効にするオプション – SafeSEH 無効のバイナリ処理時にエラー生成 • COFF の SafeSEH 情報をリンクする 未完成orz
…時間切れorz • 2 週間後を目処にパッチ公開予定。 – mingw-w64 / GNU の本家に採用されればいいなぁ。 • 実は SafeSEH はあまり役に立たない orz – プロセス内に SafeSEH 無効バイナリがあれば SafeSEH の有効性が大幅に低下する。 – ハードウェア DEP が有効な場合、この種の テクニックが使いにくくなる。 – そもそも、ヒープでコードが実行できるなら、 もっと単純な SEH overwrite + heap splay で 攻略可能!
じゃあなんでやったの? • むしゃくしゃしてやった(ry
じゃあなんでやったの? • むしゃくしゃしてやった(ry • SEH 関連で実装されていない機能が ほとんど存在しない! – x64, ARM, MIPS… の安全な SEH に対応。 • UNIX 系でいう DWARF2 EH に近い – 実装されていないのは次のものだけ! • Itanium 版の安全な SEH • x86 専用の SafeSEH – なんか実装されていないのは中途半端に思えた。
Thank you! • OTL

More Related Content

PDF
リバースエンジニアリングのための新しいトレース手法 - PacSec 2010
byTsukasa Oi
 
PDF
さらば、Stagefright 脆弱性
byTsukasa Oi
 
PDF
Exploring the x64
byFFRI, Inc.
 
PDF
本当にわかる Spectre と Meltdown
byHirotaka Kawata
 
PPTX
自作x86エミュレータの終焉
byDaisuke Kamikawa
 
PDF
システムレジスタの不足と2つのシンプルなアンチフォレンジック攻撃 - AVTokyo 2009
byTsukasa Oi
 
PDF
4章 Linuxカーネル - 割り込み・例外 2
bymao999
 
PDF
4章 Linuxカーネル - 割り込み・例外 4
bymao999
 
リバースエンジニアリングのための新しいトレース手法 - PacSec 2010
byTsukasa Oi
 
さらば、Stagefright 脆弱性
byTsukasa Oi
 
Exploring the x64
byFFRI, Inc.
 
本当にわかる Spectre と Meltdown
byHirotaka Kawata
 
自作x86エミュレータの終焉
byDaisuke Kamikawa
 
システムレジスタの不足と2つのシンプルなアンチフォレンジック攻撃 - AVTokyo 2009
byTsukasa Oi
 
4章 Linuxカーネル - 割り込み・例外 2
bymao999
 
4章 Linuxカーネル - 割り込み・例外 4
bymao999
 

What's hot

PDF
4章 Linuxカーネル - 割り込み・例外 5
bymao999
 
PDF
SpectreとMeltdown:最近のCPUの深い話
byLINE Corporation
 
PDF
2章 Linuxカーネル - メモリ管理1
bymao999
 
PDF
最新ポートスキャン対策
byFFRI, Inc.
 
PDF
自作コンピューターでなんかする - 第八回 カーネル/VM探検隊&懇親会
byHirotaka Kawata
 
PDF
4章 Linuxカーネル - 割り込み・例外 3
bymao999
 
PDF
Semantic Versioning
byKosuke Usami
 
PPTX
[CB16] COFIブレイク:実用的な制御フローインテグリティとプロセッサのトレースによるエクスプロイト阻止 by Ron Shina & Shlomi...
byCODE BLUE
 
PPTX
ゼロから始める自作 CPU 入門
byHirotaka Kawata
 
PDF
いいかげんな人のためのTransactional Memory Primer
byYuto Hayamizu
 
PPT
d-kami x86-2
byDaisuke Kamikawa
 
PDF
【学習メモ#4th】12ステップで作る組込みOS自作入門
bysandai
 
PPTX
WHAT_A_KERNEL_IRQL
bySatoshi Mimura
 
PPTX
signal の話 或いは Zend Signals とは何か
bydo_aki
 
PDF
システムコール
byMasahiro Tomita
 
PDF
【学習メモ#7th】12ステップで作る組込みOS自作入門
bysandai
 
PDF
Yunusov babin 7sins-pres_atm_v4(2)_jp
byPacSecJP
 
KEY
UnitTestのためのクラス設計
byTakeshi Ishida
 
PDF
【学習メモ#6th】12ステップで作る組込みOS自作入門
bysandai
 
PDF
0章 Linuxカーネルを読む前に最低限知っておくべきこと
bymao999
 
4章 Linuxカーネル - 割り込み・例外 5
bymao999
 
SpectreとMeltdown:最近のCPUの深い話
byLINE Corporation
 
2章 Linuxカーネル - メモリ管理1
bymao999
 
最新ポートスキャン対策
byFFRI, Inc.
 
自作コンピューターでなんかする - 第八回 カーネル/VM探検隊&懇親会
byHirotaka Kawata
 
4章 Linuxカーネル - 割り込み・例外 3
bymao999
 
Semantic Versioning
byKosuke Usami
 
[CB16] COFIブレイク:実用的な制御フローインテグリティとプロセッサのトレースによるエクスプロイト阻止 by Ron Shina & Shlomi...
byCODE BLUE
 
ゼロから始める自作 CPU 入門
byHirotaka Kawata
 
いいかげんな人のためのTransactional Memory Primer
byYuto Hayamizu
 
d-kami x86-2
byDaisuke Kamikawa
 
【学習メモ#4th】12ステップで作る組込みOS自作入門
bysandai
 
WHAT_A_KERNEL_IRQL
bySatoshi Mimura
 
signal の話 或いは Zend Signals とは何か
bydo_aki
 
システムコール
byMasahiro Tomita
 
【学習メモ#7th】12ステップで作る組込みOS自作入門
bysandai
 
Yunusov babin 7sins-pres_atm_v4(2)_jp
byPacSecJP
 
UnitTestのためのクラス設計
byTakeshi Ishida
 
【学習メモ#6th】12ステップで作る組込みOS自作入門
bysandai
 
0章 Linuxカーネルを読む前に最低限知っておくべきこと
bymao999
 

Similar to Windows をより安全にする SafeSEH on MinGW

PPTX
Survey and Analysis of ICS Vulnerabilities (Japanese)
byDigital Bond
 
ODP
0x300
bygeek_alice
 
PPTX
No.2 超初心者向け セキュリティ入門
byStudy Group by SciencePark Corp.
 
PDF
Abusing Interrupts for Reliable Windows Kernel Exploitation (ja)
byinaz2
 
ODP
Buffer overflow
byionis111
 
PDF
IDAの脆弱性とBug Bounty by 千田 雅明
byCODE BLUE
 
PDF
○○大学の本当にあった怖い話
byidkqh7 Nishino
 
PPTX
Statically detecting vulnerability under memory pressure using exhaustive search
byRuo Ando
 
PPTX
Css2014 ruo ando_2014-10-23-01
byRuo Ando
 
PDF
[CB19] アンチウイルスをオラクルとしたWindows Defenderに対する新しい攻撃手法 by 市川遼
byCODE BLUE
 
PDF
[CB19] Semzhu-Project – 手で作る組込み向けハイパーバイザと攻撃検知手法の新しい世界 by 朱義文
byCODE BLUE
 
PDF
技術紹介: S2E: Selective Symbolic Execution Engine
byAsuka Nakajima
 
PDF
2017-12-04 Linuxの基本構造とBashでの扱い方
by浩平 渡邉
 
PDF
DLL読み込みの問題を読み解く
byJPCERT Coordination Center
 
PDF
SpectreBustersあるいはLinuxにおけるSpectre対策
byMasami Hiramatsu
 
PPTX
[CB16] マイクロソフトウィンドウズカーネルのデスノート by Peter Hlavaty & Jin Long
byCODE BLUE
 
PPTX
CVE-2021-3156 Baron samedit (sudoの脆弱性)
byTetsuya Hasegawa
 
PDF
SEH on mingw32
bykikairoya
 
PDF
コンテナセキュリティにおける権限制御(OCHaCafe5 #3 Kubernetes のセキュリティ 発表資料)
byNTT DATA Technology & Innovation
 
KEY
Functional Pearl + Brainfuck
byEita Sugimoto
 
Survey and Analysis of ICS Vulnerabilities (Japanese)
byDigital Bond
 
0x300
bygeek_alice
 
No.2 超初心者向け セキュリティ入門
byStudy Group by SciencePark Corp.
 
Abusing Interrupts for Reliable Windows Kernel Exploitation (ja)
byinaz2
 
Buffer overflow
byionis111
 
IDAの脆弱性とBug Bounty by 千田 雅明
byCODE BLUE
 
○○大学の本当にあった怖い話
byidkqh7 Nishino
 
Statically detecting vulnerability under memory pressure using exhaustive search
byRuo Ando
 
Css2014 ruo ando_2014-10-23-01
byRuo Ando
 
[CB19] アンチウイルスをオラクルとしたWindows Defenderに対する新しい攻撃手法 by 市川遼
byCODE BLUE
 
[CB19] Semzhu-Project – 手で作る組込み向けハイパーバイザと攻撃検知手法の新しい世界 by 朱義文
byCODE BLUE
 
技術紹介: S2E: Selective Symbolic Execution Engine
byAsuka Nakajima
 
2017-12-04 Linuxの基本構造とBashでの扱い方
by浩平 渡邉
 
DLL読み込みの問題を読み解く
byJPCERT Coordination Center
 
SpectreBustersあるいはLinuxにおけるSpectre対策
byMasami Hiramatsu
 
[CB16] マイクロソフトウィンドウズカーネルのデスノート by Peter Hlavaty & Jin Long
byCODE BLUE
 
CVE-2021-3156 Baron samedit (sudoの脆弱性)
byTetsuya Hasegawa
 
SEH on mingw32
bykikairoya
 
コンテナセキュリティにおける権限制御(OCHaCafe5 #3 Kubernetes のセキュリティ 発表資料)
byNTT DATA Technology & Innovation
 
Functional Pearl + Brainfuck
byEita Sugimoto
 

More from Tsukasa Oi

PDF
Farewell, Stagefright bugs!
byTsukasa Oi
 
PDF
A New Tracer for Reverse Engineering - PacSec 2010
byTsukasa Oi
 
PDF
ステルスルートキット : 悪いヤツはどうライブメモリフォレンジックをすり抜ける? - PacSec 2009
byTsukasa Oi
 
PDF
Stealthy Rootkit : How bad guy fools live memory forensics? - PacSec 2009
byTsukasa Oi
 
PDF
Creating Secure VM (Comarison between Intel and AMD, and one more thing...) -...
byTsukasa Oi
 
PDF
Lack of System Registers and two simple anti-forensic attacks - AVTokyo 2009
byTsukasa Oi
 
PDF
セキュアVMの構築 (IntelとAMDの比較、あともうひとつ...) - AVTokyo 2009
byTsukasa Oi
 
Farewell, Stagefright bugs!
byTsukasa Oi
 
A New Tracer for Reverse Engineering - PacSec 2010
byTsukasa Oi
 
ステルスルートキット : 悪いヤツはどうライブメモリフォレンジックをすり抜ける? - PacSec 2009
byTsukasa Oi
 
Stealthy Rootkit : How bad guy fools live memory forensics? - PacSec 2009
byTsukasa Oi
 
Creating Secure VM (Comarison between Intel and AMD, and one more thing...) -...
byTsukasa Oi
 
Lack of System Registers and two simple anti-forensic attacks - AVTokyo 2009
byTsukasa Oi
 
セキュアVMの構築 (IntelとAMDの比較、あともうひとつ...) - AVTokyo 2009
byTsukasa Oi
 

Windows をより安全にする SafeSEH on MinGW

  • 1.
    Windows をより安全にする SafeSEH on MinGW 今ではほぼ役に立たない Tsukasa #01 (@a4lg)
  • 2.
  • 3.
  • 4.
  • 5.
  • 6.
    What is MinGW? •Windows 用のプログラムを GNU で作るためのツールチェーン + α – ほとんどの機能は本家 binutils/gcc で対応済 • 最近は 64-bit 向けフォークの mingw-w64 が面白い! – Windows 固有の機能にほとんど対応 – カーネルモードドライバも (一応) 作れる! – 自分もパッチを 2 個ほど投げました。
  • 7.
    What is this? <?xmlversion="1.0" encoding="UTF-8"?> <xfdf xmlns="http://ns.adobe.com/xfdf/"> <overflow [omitted] hÐpàhhDbd [censored] Ô1ö1ÿGVh.exehcalc1æWj [censored] [omitted] ézÿÿÿëùÌÌ [censored] /></xfdf>
  • 8.
    What is this? <?xmlversion="1.0" encoding="UTF-8"?> <xfdf xmlns="http://ns.adobe.com/xfdf/"> <overflow [omitted] hÐpàhhDbd [censored] Ô1ö1ÿGVh.exehcalc1æWj [censored] [omitted] ézÿÿÿëùÌÌ [censored] /></xfdf> • 情報セキュリティに関する問題の回答例 – 脆弱性のアドバイザリ (CVE-2004-0194) と Acrobat Reader のバイナリから exploit を書け – ファイルを開くと電卓を起動する。 入社試験前問題
  • 9.
    Exploitation Process (1) OVERFLOW! 戻り 脆弱なバッファ アドレス
  • 10.
    Exploitation Process (1) OVERFLOW! ポインタ 戻り 脆弱なバッファ 変数 アドレス • 戻りアドレスとの間にポインタ変数がある! – この部分をうまく回避しないと、戻りアドレスを 上書きしても制御を奪えない。 • オーバーフローの後もこの部分が複数回 参照されるので、攻略が少し難しい。
  • 11.
    SEH overwrite • この攻撃には、Windowsの例外処理機構を 悪用した exploit が使用されている。 • 構造化例外処理 (Structured Exception Handling) – x86 版ではスタックに、例外ハンドラのアドレスや 次の例外ハンドラを示す情報をスタックに積む。
  • 12.
    SEH overwrite • この攻撃には、Windowsの例外処理機構を 悪用した exploit が使用されている。 • 構造化例外処理 (Structured Exception Handling) – x86 版ではスタックに、例外ハンドラのアドレスや 次の例外ハンドラを示す情報をスタックに積む。 – この部分をうまく置き換えると、シェルコードが いとも簡単に実行されてしまう。 • スタックやヒープのアドレスを 細かく調べる必要がなくなる。
  • 13.
    Exploitation Process (2) OVERFLOW! ポインタ 戻り SEH 脆弱なバッファ 変数 アドレス 構造体 • スタック上の SEH 構造体を上書きする – その後、むしろ積極的に例外を発生させる! – Google: pop-pop-ret – すると、SEH 構造体の一部がコードとして実行される。 • 脆弱性なのは変わらないが、SEH 上書きのせいで 攻略の難易度が飛躍的に下がってしまう…
  • 14.
    What is this? <?xmlversion="1.0" encoding="UTF-8"?> <xfdf xmlns="http://ns.adobe.com/xfdf/"> <overflow [omitted] hÐpàhhDbd [censored] Ô1ö1ÿGVh.exehcalc1æWj [censored] [omitted] ézÿÿÿëùÌÌ [censored] /></xfdf> • 情報セキュリティに関する問題の回答例 – 脆弱性のアドバイザリ (CVE-2004-0194) と Acrobat Reader のバイナリから exploit を書け – ファイルを開くと電卓を起動する。 入社試験前問題
  • 15.
    What is this? <?xmlversion="1.0" encoding="UTF-8"?> <xfdf xmlns="http://ns.adobe.com/xfdf/"> <overflow [omitted] hÐpàhhDbd [censored] Ô1ö1ÿGVh.exehcalc1æWj [censored] [omitted] ézÿÿÿëùÌÌ [censored] /></xfdf> • 情報セキュリティに関する問題の回答例 – 脆弱性のアドバイザリ (CVE-2004-0194) と Acrobat Reader のバイナリから exploit を書け – ファイルを開くと電卓を起動する。 入社試験前問題
  • 16.
    SafeSEH! • SEH の例外ハンドラは、予め決まっている。 •なら、それを予め登録しておく = SafeSEH – Windows XP SP2 で対応した保護機能 (いわゆるソフトウェア DEP) – PE ファイル内に有効な例外ハンドラを格納する – それ以外のアドレスを例外ハンドラとして 指定された場合には、単に強制終了させる。 • 少なくとも、任意コード実行よりはマシ。
  • 17.
    SafeSEH on MinGW(1) • アセンブラ (GNU as) – SafeSEH 関連の擬似命令を定義 • 一部 SEH 関連の擬似命令はすでに定義済 – オブジェクトファイルに SafeSEH 情報をエミット • リンカ (GNU ld) – オブジェクトファイルの SafeSEH 情報をリンク • コンパイラ (GCC) – SafeSEH 対応を示すマクロを定義。 • mingw-w64 の CRT では、SEH 情報を インラインアセンブラで (条件付き) 記述している。
  • 18.
    SafeSEH on MinGW(2) • SafeSEH 情報 – COFF (.obj …) と PE (.exe …) で構造が違う! • COFF – @feat.00 シンボル • SafeSEH 対応を示す特殊シンボル (bit 0 = 1) – .sxdata セクション • 例外ハンドラのシンボル番号リスト • PE – IMAGE_LOAD_CONFIG_DIRECTORY 構造体 • 例外ハンドラのアドレスリスト
  • 19.
    SafeSEH on GNUas (1) • 擬似命令: .safeseh_handler <symbol> – COFF の仕様上、ハンドラはシンボルで 参照できる必要がある。 – このハンドル時に .sxdata に シンボルのインデックスを追加する。 • アセンブル終了前 – @feat.00 シンボルを追加する • しかしこれはうまくいかない!
  • 20.
    SafeSEH on GNUas (2) • Problem 1 : シンボル番号がズレる!? – COFF 仕様によれば、シンボルテーブルは 一定の規則でソートされる必要がある。 – 擬似命令解釈時にはこの番号がわからない。 • Solution 1 : シンボルを後で .sxdata に吐く – 擬似命令解釈時にはシンボル情報だけ リストに入れておき、最後にまとめて .sxdata セクションに吐き出す。 • 状況がさらに悪化した…
  • 21.
    SafeSEH on GNUas (3) • Problem 2 : セクションもシンボルも弄れない – オブジェクトファイル処理最終段階では、 セクションの内容が固定されており、データの 追加が不可能。 – シンボルはここでも並び替えられていない… • 試行錯誤の末、なんとかできた!
  • 22.
    SafeSEH on GNUas (4) • オブジェクトファイル処理時に、 COFF シンボルを強制的に並び替える。 – coff_renumber_symbols 関数は本来本当に最後に 使われるが、ここではその前に呼び出す! • .sxdata にダミーデータを追加しておき、 後で強制的に書き換える。 – 擬似命令解釈時にダミーのデータを .sxdata に吐く – 最終段階で、このデータを実際のものに置換する • これは再配置処理などでもやるので、 多分大丈夫だと思う。
  • 23.
    SafeSEH on GNUas (5) • .sxdata セクションの属性は特殊 – IMAGE_SCN_LNK_INFO • BFD 部分に手を入れて、.sxdata セクションの 特殊扱いを追加する。 – .text や .bss などの特殊扱いと同様。 – ここへの変更は objdump などにも影響する。
  • 24.
    SafeSEH on GNUld • .sxdata セクションを削除する – PE ではもはや必要ないため – リンカスクリプトの一部 (/DISCARD/) に追記 • オプション: --safeseh – リンク時に SafeSEH を有効にするオプション – SafeSEH 無効のバイナリ処理時にエラー生成 • COFF の SafeSEH 情報をリンクする 未完成orz
  • 25.
    …時間切れorz • 2 週間後を目処にパッチ公開予定。 – mingw-w64 / GNU の本家に採用されればいいなぁ。 • 実は SafeSEH はあまり役に立たない orz – プロセス内に SafeSEH 無効バイナリがあれば SafeSEH の有効性が大幅に低下する。 – ハードウェア DEP が有効な場合、この種の テクニックが使いにくくなる。 – そもそも、ヒープでコードが実行できるなら、 もっと単純な SEH overwrite + heap splay で 攻略可能!
  • 26.
  • 27.
    じゃあなんでやったの? • むしゃくしゃしてやった(ry • SEH関連で実装されていない機能が ほとんど存在しない! – x64, ARM, MIPS… の安全な SEH に対応。 • UNIX 系でいう DWARF2 EH に近い – 実装されていないのは次のものだけ! • Itanium 版の安全な SEH • x86 専用の SafeSEH – なんか実装されていないのは中途半端に思えた。
  • 28.