CFG防护机制的简要分析 – 先知社区 (aliyun.com)

Exploring Control Flow Guard in Windows 10 (trendmicro.com)

本文主要来自上面两篇文章,自己做一个记录罢了。

CFG 通过在间接跳转(Indirect Call)前插入校验代码(比如 call dword ptr ss:[ebp-8] 等等 ),检查目标地址的有效性,进而可以阻止执行流跳转到预期之外的地点, 最终及时并有效的进行异常处理,避免引发相关的安全问题。

CFG 的实现需要联合编译器、操作系统用户层库和内核模块,它是一个汇编层面的保护。

CFG——ControlFlowGuard 控制流保护-冯金伟博客园

CFG——ControlFlowGuard 控制流保护-冯金伟博客园

首先,一个正常的函数地址(x86)的前24位会被取出,作为一个偏移值(OFFSET)。CFGBitMapBase + OFFSET*4  地址中存储着一个计算值(每4字节作为) ,_guard_check_icall_fptr 函数会对传入的参数进行计算,然后与存储着的计算值进行比较:

① 最后一字节的最后4位全为0,则取最后一字节的前5位作为一个偏移值,若对应的存储值(从0开始数)的对应位是1,则函数地址有效。

② (windows 10 pro 2018年)最后一字节的最后4位不全为0,则取最后一字节的前5位作为一个偏移值。若对应的存储值(从0开始数)的对应位是1,则函数地址有效并返回;

Win 10 1909(OS内部版本18363.1198) 中,最后一字节的最后4位不全为0,则取最后一字节的前5位并将这5位的最后一位置0,再作为一个偏移值。若对应的存储值(从0开始数)的对应位是1,则执行下一步

③ 若前两个都不满足,或第二个满足,则将前5位的最后一位置1,作为一个偏移值。若对应的存储值(从0开始数)的对应的位是1,则函数地址有效。否则判定无效,并进行异常处理。

借助上面提到的文章,自己添加了一些函数进去,对编译的程序进行调试:

CFG——ControlFlowGuard 控制流保护-冯金伟博客园

因为是用 C++ 写的,使用的是 __cdecl (C 规范的) 调用约定,参数从右到左入栈,由调用者负责清除栈。

可以看到 _guard_check_icall_fptr 程序实际调用了 ValidateUserCallTarget 函数

CFG——ControlFlowGuard 控制流保护-冯金伟博客园

系统:Windows 10 1909   编译器:VS 2019 win32 release版

mov
edx,dword ptr ds:[77D112F8] // 获得 CFGBitMapBase 地址 mov eax,ecx              // ecx = 要调用的函数地址 shr eax,8               // 取函数地址的前24位作为 OFFSET mov edx,dword ptr ds:[edx+eax*4] // 到 CFGBitMapBase+OFFSET*4 取值 mov eax,ecx              shr eax,3               // eax 右移三位 test cl,F               // 函数地址的最后4位是否全为0
jne ntdll.77C79DBE         // 不全为0则跳转到后面执行 bt edx,eax              // Bit Test 指令,第一个操作数(edx)是寄存器且
                    // eax > 32时,将会对 eax = eax mod 32 (AX 时模数是16)
                    // 然后再取 edx 相对应的位的值放入 CF 中
                    // 因为右移了3位,最后一字节前5位能表示的最大值是31,
                    // 因此其实取余后的值也还是由最后一字节的前5位表示

jae ntdll.77C79DC7         // 若edx对应的位是0,则跳转,否则正常返回 ret

77C79DBE
btr eax,0               // 取 eax 最后一位,放入 CF 并将 eax 最后一位置 0 bt edx,eax              // 取 edx 对应的位放入 CF,与前面原理相同 jae ntdll.77C79DD0         // 若 CF == 0,则进入异常处理
77C79DC7
or eax,1               // 将 eax 最后一位置 1 bt edx,eax              // 取对应位 jae ntdll.77C79DD0 ret


77C79DD0:              // 异常处理 push ecx lea esp,dword ptr ss:[esp-80] movups xmmword ptr ss:[esp],xmm0 movups xmmword ptr ss:[esp+10],xmm1 movups xmmword ptr ss:[esp+20],xmm2 movups xmmword ptr ss:[esp+30],xmm3 movups xmmword ptr ss:[esp+40],xmm4 movups xmmword ptr ss:[esp+50],xmm5 movups xmmword ptr ss:[esp+60],xmm6 movups xmmword ptr ss:[esp+70],xmm7 call <ntdll.@RtlpHandleInvalidUserCallTarget@4> movups xmm0,xmmword ptr ss:[esp] movups xmm1,xmmword ptr ss:[esp+10] movups xmm2,xmmword ptr ss:[esp+20] movups xmm3,xmmword ptr ss:[esp+30] movups xmm4,xmmword ptr ss:[esp+40] movups xmm5,xmmword ptr ss:[esp+50] movups xmm6,xmmword ptr ss:[esp+60] movups xmm7,xmmword ptr ss:[esp+70] lea esp,dword ptr ss:[esp+80] pop ecx ret

同时,若在编译过程中不开启 ASLR ,则自己编写的函数的 CFGBitMap 值会是 FFFFFFFF,而系统函数的值则不会是

CFG——ControlFlowGuard 控制流保护-冯金伟博客园

CFG——ControlFlowGuard 控制流保护-冯金伟博客园

使用不同的运行库也会导致某些函数的 CFGBitMap 值为 FFFFFFFF,猜测如下:如果代码写死在程序中,不需要调用外部 DLL 库中的文件,则值为 FFFFFFFF,如果需要调用外部 DLL 库中的文件,则值不为全 F。