我了解VirtualProtect 函数毫无疑问地更改了内存中页面的权限。当任何正在运行的进程都可以使用它时,这肯定会没有直接的目的吗?
例如,有人可以轻松编写一段恶意软件,该恶意软件使用VirtualProtectEx 函数来绕过指令并造成严重破坏。另一方面,用户可能有正当理由允许进程修改内存(即游戏作弊)。
【问题讨论】:
VirtualProtect 试图阻止。
有人可以轻松编写该恶意软件,但他们如何让目标执行它?
VirtualProtect 允许我有选择地使内存可执行。这意味着我可以将存储不受信任数据的缓冲区标记为不可执行,并且我拥有的允许不受信任的用户修改我的函数的返回地址的安全漏洞无法跳转到该缓冲区并在那里执行代码,从而停止攻击者自己执行 VirtualProtect。
它还允许我将内存设为只读。这意味着我可以将不受信任缓冲区旁边的区域标记为只读,并且缓冲区溢出无法覆盖更多重要数据。因此,我的应用程序中没有远程代码,攻击者没有 VirtualProtect。
一旦攻击者以某种方式获得了对系统的访问权限,他就可以使用 VirtualProtect 移除对处于相同安全级别的进程的保护,但此时你已经失去了。
【讨论】:
我使用VirtualProtect 来帮助追踪不正确的内存访问。
我分配了一个内存页面,对其进行了初始化,然后将其标记为不可读/不可写,然后我们的巨型单体程序中的另一个组件不正确地访问了我的指针。一旦该组件尝试写入不可写页面,我们就会看到访问冲突,并且我们知道违规方是谁。
(在此之前,我们只知道内存被覆盖了......但我们不知道是哪个组件在做这件事)。
【讨论】:
主要是为了防止攻击并允许 JIT 等。如果没有VirtualProtect,您将无法将页面标记为不可写和可执行,反之亦然。也就是说,如果系统上已经存在恶意软件,那么问题就是already past the airtight door。在理想情况下,进程还可以使用 ACL 来防止另一个进程检查其内存或更改其内存保护。这就是安全播放的工作原理。
如果系统上已经存在恶意软件,那么您所做的任何事情都不会起作用,因为恶意软件可能处于内核模式。在这种情况下,它已经可以为所欲为。
【讨论】: