查字典图书网
查字典图书网
shellcode是指一个原始可执行代码的有效载荷。shellcode这个名字来源于攻击者通常会使用这段代码来获得被攻陷系统上交互式shell的访问权限。然而,时过境迁,现在这个术语通常被用于描述一段自包含的可执行代码。 shellcode经常与漏洞利用并肩使用,来颠覆一个运行的程序,或是被恶意代码用于执行进程注入。漏洞利用与进程注入,在机制上与shellcode被植入到一个运行的程序并在进程启动后执行是相似的。 shellcode的编写者需要手动执行几个软件开发者从未意识到的动作。例如,shellcode代码不能依赖于Windows加载器在普通程序启动时所执行的如下动作: ● 将程序布置在它首选的内存位置。 ● 如果它不能被加载到首选的内存位置,那么需要应用地址重定向。 ● 加载需要的库,并解决外部依赖。 ● 本章会向你介绍这些shellcode技术,并使用现实世界中的完整例子演示。 19.1 加载shellcode进行分析 在一个调试器中加载和运行shellcode是有问题的,因为shellcode通常只是一个二进制数据块,它不能像一个普通可执行文件一样运行。为了使事情更简单一些,我们将使用shellcode_launcher.exe(包括实验样本都可以在http://www.practicalmalwareanalysis.com/中获得),来加载并跳转到shellcode片段。 正如本书第5章讨论过的那样,加载shellcode到IDA Pro中进行静态分析是相对简单的,但用户必须在加载过程中提供输入,因为没有可执行文件格式来描述shellcode的内容。首先,你必须在加载进程对话框中选择正确的处理器类型。对于本章中的样本,你可以在提示时选择Intel 80x86 processors:metapc处理器类型,并选择32-bit disassembly。IDA Pro加载这段二进制代码,但不会执行自动分析过程(分析必须手动完成)。 19.2 位置无关代码 位置无关代码(PIC)是指不使用硬编码地址来寻址指令或数据的代码。shellcode就是位置无关代码。它不能假设自己在执行时会被加载到一个特定的内存位置,因为在运行时,一个脆弱程序的不同版本可能加载shellcode到不同内存位置。shellcode必须确定所有对代码和数据的内存访问都使用PIC技术。 表19-1为几种常见的x86代码与数据访问类型,以及它们是否是PIC代码。 表19-1 不同类型的x86代码和数据访问 在这个表中,call指令包含一个32位有符号相对位移值,通过将它和紧跟它后面的地址相加,计算出这个目标位置。因为表中显示的call指令位于0x0040103A,加上 处偏移值0xFFFFFFC1到这个指令的位置,再加上call指令的大小(5字节),结果调用目标地址0x00401000。 这个表中的jnz指令除了仅使用一个8位的有符号相对位移值外和call非常类似。jnz指令位于0x0040103A处。将在指令中 处(0xe)保存的偏移值与该指令大小(2字节)加到一起,产生的结果是跳转至目标地址0x00401044。 如你所见,像call和jump这样的控制流指令已经与位置无关了。这些指令的目标地址是通过将EIP寄存器指定的当前位置加上一个保存在指令中的相对偏移值来进行计算的。(某些形式的call和jump允许程序员使用绝对的或者非相对的不是位置无关的寻址方式。 处的mov指令显示了一个访问全局数据变量dword_407030的指令。这个指令中的后4个字节显示内存位置0x00407030。这个特别的指令并不是位置无关的,所以shellcode编写者必须避免使用它。 用 处的mov指令与 处的mov指令比较,它访问一个来自栈上的DWORD。这个指令使用EBP寄存器作为一个基值,并且包含一个有符号的相对偏移值:0xFC(-4)。这种类型的数据访问是位置无关的,并且是shellcode编写者必须对所有数据访问使用的模型:计算一个运行时地址,并仅通过使用相对这个位置的偏移值来引用数据。(在本书第19.3节中将讨论如何找到一个合适的运行时地址。) 19.3 识别执行位置 Shellcode在以位置无关的方式访问数据时,需要解引用一个基址指针。用这个基址指针加上或减去偏移值,将使它安全访问shellcode中包含的数据。因为x86指令集不提供相对EIP的数据访问寻址,而仅对控制流指令提供EIP相对寻址,所以,一个通用寄存器必须首先载入当前指令指针值,作为基址指针来使用。 获取当前指令指针值可能并不那么简单便捷,因为在x86系统上的指令指针不能被软件直接访问。事实上,没法汇编这条mov eax, eip指令,直接向一个通用寄存器中载入当前指令指针。然而,shellcode使用两种普遍的技术解决这个问题:call/pop指令和fnstenv指令。