ASLR如何有效？

Question

我听说过这个理论。地址空间位置随机化获取库并将其加载到虚拟地址空间中的随机位置，因此，如果黑客在您的程序中发现漏洞，他就没有预先知道的地址来执行返回到 libc 的攻击反对，例如。但想了几秒，这作为防御措施并没有任何意义。

假设我们假设的 TargetLib（libc 或黑客正在寻找的任何其他内容）加载到随机地址而不是确定性地址。现在，黑客事先并不知道 TargetLib 及其内部例程在哪里，但应用程序代码也不知道。它需要在二进制文件中的某个位置有某种查找表，以便查找 TargetLib 内部的例程，并且该表必须位于确定性位置。 （或者在随机位置，由其他东西指向。您可以添加任意数量的间接，但最终您必须从已知位置开始。）

这意味着他的攻击代码不是指向 TargetLib 的已知位置，黑客所需要做的就是将其攻击代码指向应用程序的查找表的 TargetLib 条目，并取消引用指向目标例程的指针，攻击就可以畅通无阻地进行。

ASLR 的工作方式有什么我不明白的地方吗？因为正如所描述的，我不明白这只是一个减速带，提供了安全的形象，但没有实际的实质内容。我错过了什么吗？

Answer 1

我相信这是有效的，因为它改变了共享库的基地址。回想一下，从共享库导入的函数在加载时会被修补到可执行映像中，因此本身没有表，只有指向分散在程序代码中的数据和代码的特定地址。

它提高了有效攻击的门槛，因为它将简单的缓冲区溢出（可以设置堆栈上的返回地址）变成了溢出必须包含确定正确位置的代码，然后跳转到它。想必这只会让事情变得更加困难。

实际上，Windows 中的所有 DLL 都是针对基地址进行编译的，它们可能不会在该基地址上运行，并且无论如何都会被移动，但核心 Windows 往往会对其基地址进行优化，以便不需要重定位。

Answer 2

我不知道你的问题是否正确，但我会解释 ASLR 何时有效，何时无效。

假设我们有 app.exe 和 TargetLib.dll。
app.exe 正在使用（链接到）TargetLib.dll。
为了使解释简单，我们假设虚拟地址空间只有这两个模块。

如果两者都启用了 ALSR，则 app.exe 的基地址未知。它可能在加载时解析一些函数调用地址，但攻击者既不知道函数在哪里，也不知道解析的变量在哪里。加载 TargetLib.dll 时也会发生同样的情况。
尽管 app.exe 有一个查找表，但攻击者并不知道该表在哪里。

由于攻击者无法判断特定地址的内容是什么，因此他必须在不使用任何固定地址信息的情况下攻击应用程序。如果他使用堆栈溢出、堆溢出、释放后使用等常用的攻击方法，通常会更困难……

另一方面，如果 app.exe 未启用 ASLR，则攻击者更容易利用该应用程序。因为app.exe中的特定地址可能存在对感兴趣的API的函数调用，攻击者可以将该地址作为目标地址进行跳转。 （攻击应用程序通常从跳转到任意地址开始）。

补充：
你可能已经明白了，但我想澄清一件事。
当攻击者通过内存损坏等漏洞利用应用程序时，他通常被迫使用固定地址跳转指令。他们无法使用相对地址跳转指令来利用。这就是 ALSR 对于此类漏洞确实有效的原因。