SEH的基本原理
SEH全称为“Structured Exception Handling”,即结构化异常处理,它是Windows操作系统中用于异常处理的一种机制。SEH通过一条链表来存储异常处理程序,程序在遇到错误时,可以从链表顶部开始查找合适的异常处理程序来执行相应的恢复措施。当一个新的异常发生时,如果当前执行上下文没有找到合适的处理程序,那么它将沿着SEH链向上传递,直至找到合适的处理器或到达最顶端。
SEH中的三个关键概念
① Exception Frame:每个线程都有一个自己的Exception Frame,这是一个包含了当前调用栈信息和相关数据结构(如TIB、EIP等)的数据结构。当一个异常发生时,该Frame会被压入栈中,并且所有未捕获到的异常都会在这个Frame中记录下来。
② Trap Handler:当一个新生成的硬件陷阱进入内核后,由于硬件不能区分是软件引发还是硬件引发,所以需要软件通过trap handler来区分是否需要继续进行 Trap 或者转换为 Exception 处理。
③ Top-Level Exception Dispatcher (TED):这是操作系统提供的一个函数,当 TED 收到请求后,它会根据不同的条件决定应该如何回调应用层代码,比如可能是直接返回给应用,或者是跳转到特定的错误页。
SEH攻击与防御
SEH攻击通常涉及对控制流进行操纵,以便插入恶意代码并绕过正常的安全检查。为了防御这种攻击,一种常见的手段是在堆栈上添加保护页面,从而检测任何试图写入非法区域的行为。在一些情况下,还可以使用DEP(Data Execution Prevention)来确保代码只能运行在指定区域,而不允许执行随机堆栈上的指令。
实际案例分析
在过去,有多起著名案例展示了SEH技术如何被利用和破坏。例如,在2006年,一位黑客利用了MS06-001漏洞,该漏洞允许攻击者远程注入恶意代码并完全控制受害者的系统。这类似于一种缓冲溢出攻击,其中利用了Web浏览器中的IE框架对JavaScript对象数组索引值进行越界访问,从而导致以往无法预料的情况——即使IE也无法正确地解释这些参数,但由于存在安全问题,即使这样做也是可行的。
未来的发展趋势
随着现代操作系统不断完善其内核级别安全特性,如Address Space Layout Randomization(ASLR)、Data Execution Prevention(DEP)以及其他沙箱技术等,未来SEH可能会逐渐失去作为主要威胁媒介的地位。不过,由于其长期存在的问题和设计缺陷,使得开发人员仍然必须保持警惕,并采取必要措施以增强应用程序本身对于各种类型潜在威胁的心智准备能力。
