보호되어 있는 글입니다.

보호되어 있는 글입니다.

DEP : Data Execution Prevention 힙 이나 스택과 같은 데이터 영역에서 실행을 금지하는 기법 소프트웨어 기반 : safeSEH 하드웨어 기반 : NX/XD NX : AMD에 있는 실행 방지 페이지 보호 XD : INTEL에 있는 실행 불가능 비트 인텔 보호 정책 설정 레벨은 4가지다. ----------------------------------------------------------------------------- AlwaysOn : 모든 프로세스를 DEP에 의해 보호 => VISTA는 이것땜에 망했다. OptOut : 예외 설정 외 프로세스는 DEP에 의해 보호 (화이트리스트기반인듯) 예외설정에 포함되지 않는 착한애들(OutBoundary)만 DEP에 의해 보호 OptIn..

SafeSEH : SafeSEH는 SEH 기반 공격 시도를 실시간으로 차단해준다. /safeSEH 컴파일러 스위치를 모든 실행 가능한 모듈에 적용할 수 있다. 스택을 보호하는 대신 예외 핸들러 프레임 체인이 보호되는데, 만약 SEH 체인이 변조되면 애플리케이션은 감염된 핸들러로 점프하지 않고, 종료된다. SafeSEH는 예외 핸들링 체인이 실제 핸들러로 이동하기 전에 변조 여부를 검사한다. 버그 바운티 팁이라고도 볼 수 있겠다. 취약한 애플리케이션이 SafeSEH로 컴파일 되지 않았거나 로드 된 모듈들 중 하나 이상이 SafeSEH로 컴파일 되어 있지 않은 경우, 해당 모듈 또는 애플리케이션 "DLL 파일"에서 POP/POP/RET 주소를 가져온다. Garget : pop pop ret , call eb..

SafeSEH : SafeSEH는 SEH 기반 공격 시도를 실시간으로 차단해준다. /safeSEH 컴파일러 스위치를 모든 실행 가능한 모듈에 적용할 수 있다. 스택을 보호하는 대신 예외 핸들러 프레임 체인이 보호되는데, 만약 SEH 체인이 변조되면 애플리케이션은 감염된 핸들러로 점프하지 않고, 종료된다. SafeSEH는 예외 핸들링 체인이 실제 핸들러로 이동하기 전에 변조 여부를 검사한다. 버그 바운티 팁이라고도 볼 수 있겠다. 취약한 애플리케이션이 SafeSEH로 컴파일 되지 않았거나 로드 된 모듈들 중 하나 이상이 SafeSEH로 컴파일 되어 있지 않은 경우, 해당 모듈 또는 애플리케이션 "DLL 파일"에서 POP/POP/RET 주소를 가져온다. Garget : pop pop ret , call eb..

보호되어 있는 글입니다.