Переполнение буфера на системах с неисполняемым стеком
       

>>> Врезка интересные ссылки


q       A detailed description of the Data Execution Prevention (DEP):

o        официальное описание технологии DEP от Microsoft, крайне поверхностное и неконкретное, но почитать все-таки стоит (на русском и английском языках): http://support.microsoft.com/kb/875352/ru; http://support.microsoft.com/kb/875352;

q       AMD64 Enhanced Virus Protection:

o        официальная презентация EVP "технологии" от компании AMD. куча роликов и никакой технической информации (на английском языке): http://www.amd.com/us-en/Weblets/0,,7832_11104_11105,00.html;

q       Execute Disable Bit Functionality Blocks Malware Code Execution:

o        детальная техническая информация от Intel, касающаяся XD бита, ориентированная на системных программистов (на английском языке): http://cache-www.intel.com/cd/00/00/14/93/149307_149307.pdf;

q       Processor Number Feature Table:

o        перечень процессоров от Intel, поддерживающих XDбит (на английском языке): http://support.intel.com/products/processor_number/proc_info_table072505.pdf;

q       nx: how well does it say NO to attacker's eXecution Attempts:

o        презентация с Black Hat, раскрывающая принципы работы механизма DEP и перечисляющая его основные уязвимости (на английском языке): http://www.blackhat.com/presentations/bh-usa-05/bh-us-05-maynor.pdf;

q       Buffer overflow attacks bypassing DEP (NX/XD bits) - part 2 : Code injection:

o        обход DEP, основанный выделении региона памяти посредством вызова VirtualAlloc с последующим копированием shell-кода (на английском языке): http://www.mastropaolo.com/?p=13;


q       Defeating Microsoft Windows XP SP2 Heap protection and DEP bypass:

o        обход DEP, основанный на переполнении кучи с последующей подменой адреса возврата из функции main на функцию crt!system (на английском языке): http://www.maxpatrol.com/defeating-xpsp2-heap-protection.htm;

q       Windows Heap Overflows:

o        презентация с Black Hat, описывающая общую принципы переполнения кучи под NT (на английском языке): http://www.blackhat.com/presentations/win-usa-04/bh-win-04-litchfield/bh-win-04-litchfield.ppt;

q       DEP evasion technique:

o        замечательный блог, демонстрирующий технику обхода DEP и сравнивающий его с аналогичными защитными механизмами из UNIX (на английском языке): http://woct-blog.blogspot.com/2005/01/review-of-microsofts-dep.html; http://woct-blog.blogspot.com/2005/01/dep-evasion-technique.html;

q       ошибки переполнения буфера извне и изнутри как обобщенный опыт реальных атак:

o        уже устаревавшая статья мыщъх'а, подробно описывающая причины и следствия ошибок переполнения различных типов (на русском языке): ftp://nezumi.org.ru/pub/shellcoders.demo.zip;

q       SEH на службе контрреволюции:

o        еще одна статья мыщъх'а, демонстрирующая технику обхода программного DEP (на русском языке): ftp://nezumi.org.ru/pub/zq-buf-SEH.zip;

q       eWEEK.com Special Report: Windows XP Service Pack 2:

o        Microsoft подтверждает возможность обхода DEP (на английском языке): http://www.eweek.com/article2/0,1759,1757786,00.asp;


Содержание раздела