2. 程式人生 > >Android 地址空間隨機化(ALSR)緩解技術

Android 地址空間隨機化(ALSR)緩解技術

阿新 發佈:2018-12-12

出發點

常規的緩衝區溢位利用技術以及其衍生的Ret2libs和ROP利用技術在利用棧緩衝區溢位漏洞進行攻擊時,需要事先熟悉被攻擊程序的虛擬地址空間佈局以便採用硬編碼方式佈局棧記憶體。由於作業系統每次載入程序和動態連結庫時,基地址都載入到固定虛擬記憶體地址處,使緩衝區溢位漏洞易於劫持程式流程跳轉到佈局在棧記憶體的shellcode,即使開啟XN緩解技術,採用ROP也很容易定位到系統庫中的gadget,並劫持程式執行流跳轉到gadget chain。

基於上述緩衝區溢位漏洞的利用特點,地址空間佈局隨機化機制(ALSR)將熵引入到程序記憶體地址空間中,使程序的多個區域(系統呼叫使用的區域、棧記憶體空間等)在載入時隨機分配虛擬地址空間,這樣可以有效的阻止Ret2libs和ROP等利用技術。如果和XN技術結合啟用將在最大程度上保護系統不受記憶體破壞漏洞的攻擊。

原理

早期的ASLR技術主要是在程序載入時在程序棧上預先填充隨機大小的位元組(將棧頂指標減去隨機大小位元組),從而達到程序基地址載入的地址空間隨機化佈局,但由於隨機化的記憶體地址區域單一(棧記憶體),無法應對其他形式的記憶體攻擊,eg,堆緩衝區溢位攻擊,並且由於填充的隨機位元組數太少很容被暴力破解掉,只是在一定程度上緩解了緩衝區溢位漏洞攻擊。

隨著ASLR技術的逐步完善,ASLR技術趨於成熟。其中PaX的技術方案就是ASLR的成熟代表。PaX通過對核心打補丁的方式,實現了對棧基址、主程式基址和共享庫的載入隨機化。在程序載入時對棧基址的4-27位進行隨機化,對主程式的程式碼區、靜態資料區、堆三個連續區域基地址的12-27位進行隨機化,對共享庫載入地址的12-27位進行隨機化,這樣對存在記憶體破壞的各種記憶體區域都進行了強隨機化,大大降低了緩衝區溢位攻擊的成功率。

和PaX不同,TRR通過修改程序載入器的方式來實現ASLR,避免了修改核心,其隨機化方法基本和PaX類似。但TRR增加了對GOT表的隨機化功能,TRR通過修改程序載入器,在程序載入時將GOT表移動到隨機位置,並用二進位制程式碼修改工具修改了程式碼段PLT中對GOT表的索引使其正確指向GOT,從而實現了對GOT表的隨機化。GOT表隨機化可以有效的阻止修改GOT表中函式指標指向惡意程式碼的攻擊方式。

android

與其他作業系統一樣,Android對ASLR機制的支援也是分階段完成的,最早在4.0版本引入,僅僅實現了對nmap系統呼叫所建立的區域(包括動態連結庫)的隨機化。在4.0.3實現了對

空間的隨機化,但是動態聯結器(linker)本身的隨機化並未實現,4.1.1為linker和所有其他的系統二進位制檔案進行了隨機化,目前Android系統已經完全支援了ASLR機制。

ALSR機制有這樣的一個特點或者說“缺陷”:當程序啟動時,隨機化會生效,但如果程序是由一個程式fork而來,則不會再次隨機化。使用fork系統呼叫後,新程序的地址空間佈局會和原來的程序完全一樣。這種情況在Android上的例子就是Zygote。

Zygote利用fork機制來啟動所有應用程序,這些應用程式擁有一個巨大的、共享的、預先填充的虛擬記憶體地址空間,並利用寫時複製技術(copy-on-write)儘可能延遲記憶體頁的複製,從而減少了新程序的記憶體使用量和建立時間。但同時這樣的設計也使Android裝置上的任何應用程式都可以洩漏記憶體地址。

例如,下面是Android中兩個由Zygote fork啟動的應用程式,

[email protected]:/ # cat /proc/1380/maps                                        
4004c000-40051000 r-xp 00000000 b3:19 1424       /system/bin/app_process
40051000-40052000 r--p 00004000 b3:19 1424       /system/bin/app_process
40052000-40053000 rw-p 00005000 b3:19 1424       /system/bin/app_process
40053000-40062000 r-xp 00000000 b3:19 125        /system/bin/linker
40062000-40063000 r--p 0000e000 b3:19 125        /system/bin/linker
40063000-40064000 rw-p 0000f000 b3:19 125        /system/bin/linker
40064000-40067000 rw-p 00000000 00:00 0 
40067000-40068000 r--p 00000000 00:00 0 
40068000-40069000 rw-p 00000000 00:00 0          [anon:libc_malloc]
40069000-4006c000 r-xp 00000000 b3:19 791        /system/lib/liblog.so
4006c000-4006d000 r--p 00002000 b3:19 791        /system/lib/liblog.so
4006d000-4006e000 rw-p 00003000 b3:19 791        /system/lib/liblog.so
4006e000-400b5000 r-xp 00000000 b3:19 711        /system/lib/libc.so
400b5000-400b6000 ---p 00000000 00:00 0 
400b6000-400b8000 r--p 00047000 b3:19 711        /system/lib/libc.so
400b8000-400bb000 rw-p 00049000 b3:19 711        /system/lib/libc.so
400bb000-400c9000 rw-p 00000000 00:00 0 
400c9000-400ca000 r-xp 00000000 b3:19 880        /system/lib/libstdc++.so
......
be91d000-be93e000 rw-p 00000000 00:00 0          [stack]
ffff0000-ffff1000 r-xp 00000000 00:00 0          [vectors]

============================================================================

[email protected]:/ # cat /proc/1367/maps
4004c000-40051000 r-xp 00000000 b3:19 1424       /system/bin/app_process
40051000-40052000 r--p 00004000 b3:19 1424       /system/bin/app_process
40052000-40053000 rw-p 00005000 b3:19 1424       /system/bin/app_process
40053000-40062000 r-xp 00000000 b3:19 125        /system/bin/linker
40062000-40063000 r--p 0000e000 b3:19 125        /system/bin/linker
40063000-40064000 rw-p 0000f000 b3:19 125        /system/bin/linker
40064000-40067000 rw-p 00000000 00:00 0 
40067000-40068000 r--p 00000000 00:00 0 
40068000-40069000 rw-p 00000000 00:00 0          [anon:libc_malloc]
40069000-4006c000 r-xp 00000000 b3:19 791        /system/lib/liblog.so
4006c000-4006d000 r--p 00002000 b3:19 791        /system/lib/liblog.so
4006d000-4006e000 rw-p 00003000 b3:19 791        /system/lib/liblog.so
4006e000-400b5000 r-xp 00000000 b3:19 711        /system/lib/libc.so
400b5000-400b6000 ---p 00000000 00:00 0 
400b6000-400b8000 r--p 00047000 b3:19 711        /system/lib/libc.so
400b8000-400bb000 rw-p 00049000 b3:19 711        /system/lib/libc.so
400bb000-400c9000 rw-p 00000000 00:00 0 
400c9000-400ca000 r-xp 00000000 b3:19 880        /system/lib/libstdc++.so
......
be91d000-be93e000 rw-p 00000000 00:00 0          [stack]
ffff0000-ffff1000 r-xp 00000000 00:00 0          [vectors]

bypass

雖然ASLR機制可以有效地緩解了緩衝區溢位漏洞的利用,但也僅僅是增加了漏洞利用的開發難度,並未能完全防禦。下面列出了常用的對抗ASLR技巧:

  • 最簡單的方法是利用尚未被隨機化的區域,目前Android上已完全隨機化,這種方法不適用於Android。

  • 利用堆噴技術使攻擊者控制的資料到達記憶體中可預測的位置。

  • 利用資訊洩漏漏洞更加精準有效的獲取程序地址空間佈局。

  • 利用Android應用程序由Zygote fork啟動的特點,可以預先在手機中植入惡意應用程式,並由該程式來洩漏記憶體地址佈局。

--------------------- 本文來自 杏林小軒 的CSDN 部落格 ,全文地址請點選:https://blog.csdn.net/txx_683/article/details/53487522?utm_source=copy

相關推薦

Android 地址空間隨機ALSR緩解技術

出發點 常規的緩衝區溢位利用技術以及其衍生的Ret2libs和ROP利用技術在利用棧緩衝區溢位漏洞進行攻擊時,需要事先熟悉被攻擊程序的虛擬地址空間佈局以便採用硬編碼方式佈局棧記憶體。由於作業系統每次載入程序和動態連結庫時,基地址都載入到固定虛擬記憶體地址處,使緩衝區溢位漏洞

Linux下關閉ALSR(地址空間隨機)的方法

0x00 背景知識 ASLR(Address Space Layout Randomization)在2005年被引入到Linux的核心 kernel 2.6.12 中,當然早在2004年就以patch的形式被引入。隨著記憶體地址的隨機化,使得響應的應用變得隨機。這意味著同一應用多次

嵌入式linux基礎教程 使用者空間初始2

                                                      使用者空間初始化        Web伺服器啟動指令碼示例        這個示例很簡單但是它可以說明一些機制,指導你設計自己的系統啟動和關機行為。這個例子是基於b

第六章:隨機續1

限制 調試 each 範圍 實例 func 文件中 約束 hand 6.6 pre_randomize和post_randomize函數 我們在調用randomize()函數之前或者之後要立即執行一些操作。比如,在隨機化之前可能要設置類裏的一些非隨機變量(上下限、權重),或

第六章:隨機續2

重要 之間 ilog -o bbbb 動態 調試 即使 不同 6.10 隨機化句柄數組 如果想要產生多個隨機對象,那麽你可能需要建立隨機句柄數組,和整數數組不同,隨機求解器不會創建對象,所以你需要在隨機化前分配所有的元素。 動態數組可以按照需要分配最大數量的元素,然後按照約

Cesium中級1 - 空間資料視覺

#[CesiumJS]Cesium中級1 - 空間資料視覺化(一) Cesium中文網:http://cesiumcn.org/ | 國內快速訪問:http://cesium.coinidea.com/ 本教程將教讀者如何使用Cesium的實體(Entity)API繪製空間資料,如點、標

分治法在排序演算法中的應用JAVA--快速排序Lomuto劃分、Hoare劃分、隨機快排

分治法在排序演算法中的應用 快速排序:時間複雜度O(nlogn) 如果說歸併排序是按照元素在陣列中的位置劃分的話,那麼快速排序就是按照元素的值進行劃分。劃分方法由兩種,本節將主要介紹Huare劃分,在減治法在查詢演算法中的應用(JAVA)--快速查詢這篇文章中講述了Lomu

我所理解的Android模組——常見問題和注意事項

   關於Android模組化,前面已經寫了三篇文章,沒有了解的大家可以先去看一下,附上鍊接地址:   下面主要來說一下Android模組化過程中的常見問題和注意事項: 注意事項   記得在一篇技術部落格中看到微信Tinker的開發人員說過一句話

Android熱修復與外掛AndFix

一、熱修復技術種類 技術對比 二、AndFix的基本介紹 官網 整合階段: 1、在gradle中新增依賴

Android模組——模組通訊和模組間服務呼叫

上一篇《我所理解的Android模組化(一)》筆者講到了Android模組化的基本知識和模組化跳轉路由的基本用法,解決了模組化中跳轉的問題,下面就來講講如何實現模組化之間的通訊和跨模組方法呼叫。 模組通訊   有這樣一個場景,就是APP中的登入成功事件,需要在多

Android模組——模組可插拔單獨編譯執行

轉自: 下面主要來講一下單一模組的獨立編譯執行和插拔式的整合。 單一模組的獨立編譯執行   模組化的好處之一就是單一模組可以獨立的開發編譯執行安裝到使用者的手機上,這樣就方便了對某一模組的單獨開發除錯,單一模組生成的apk體積也小,編譯時間也快,開發效率會高很多

Android Studio酷炫外掛——自動化快速實現Parcelable介面序列

一、前言 相信資料序列化大家都多多少少有接觸到,比如自定義了一個實體類,需要在activity之間傳輸該類物件,就需要將資料序列化。android中實現方式有兩種,第一、實現Serializable介面,這種比較簡單,直接宣告就好;第二種,實現Parcelable介面,這種

ArcGIS for Android Runtime 100 升級實踐地圖載入,圖形和符號初始

      去年的Esri大會,隨著最新的ArcGIS 10.5產品的釋出,全新的ArcGIS Runtime 100.0也隨之釋出。ArcGIS Runtime 100.0 可謂是有了個天翻地覆的改

SMC-RTOS任務切換,棧空間初始基於CM3,CM4核心

棧空間初始化 CM3核心是小端格式的,棧也是滿減棧,下面是任務TCB初始化的時候任務棧空間的初始化 (這部分內容與CM3核心緊密相連,需要讀者非常熟悉CM3堆疊機制(MSP PSP雙堆疊機制等),異常機制等處理) /** * This functio

Java知識點模塊1—— 面向對象

只需要 知識 pad 產生 自動裝箱 pri 生存 new 使用 前言   這是我整理的Java筆記,分模塊會陸續上齊,具體鏈接如下:   1.面向對象:http://www.cnblogs.com/Gabby/p/6857406.html   2.集合:   3.IO:

Android的方法和屬性2

pin spinner 城市 android har lap ng- drawable -c 1.RadioButton(單選按鈕)   嵌入到RsdioGroup中實現單選效果   android:checkedButton="radio的id值"   int getC

說說Android應用的persistent屬性

bsp 是什麽 添加 mpat ltrace cleanup activity 異步 rip 1 啟動persistent應用 在Android系統中,有一種永久性應用。它們對應的AndroidManifest.xml文件裏,會將persistent屬性設為true

數據庫類型空間效率探索-tinyint與enum與set

數據 ngs truncate 類型 column 效率 select name type mysql> select count(*) from userinfo;+----------+| count(*) |+----------+| 115597 |+--

android入門 — 多線程

xtend 分享 調用 管理 ava 導致 ui線程 rec thread   android中的一些耗時操作,例如網絡請求,如果不能及時響應,就會導致主線程被阻塞,出現ANR,非常影響用戶體驗,所以一些耗時的操作,我們會想辦法放在子線程中去完成。   android的U

地址映象和變換之主存虛存

規則 根據 pan 命中率 實現 -s tro 分享 使用 地址映象:是將每一個虛存單元按某種規則裝入實存,即建立多用戶虛地址與實存地址之間的相應關系。 地址變換:是程序依照這樣的映象關系裝入實存後。在運行時,多用戶虛地址怎樣變換成相應的實存地址。 頁面爭用(實頁沖突