Mach-O文件介绍之ASLR(进程地址空间布局随机化)

ASLR 介绍

ASLR,地址空间布局随机化,是一种避免app被攻击的有效保护。

进程在自己私有的虚拟地址空间中启动。传统的方式,进程每次启动时都采用固定的可预见的方式。这意味着某个给定的程序在某个给定架构上的进程初始化虚拟内存镜像都是基本一致的。而且在进程正常运行的生命周期中,大部分内存分配的操作都是按照相同的方式进行的,使得内存中的地址分布具有非常强的可预测性。

这给黑客提供了更大的施展空间。黑客主要采用的方法是代码注入:通过重写内存中的函数指针,黑客就可以将程序的执行路径转到自己的代码,将程序的输入变为自己的输入。重写内存最常用的方法是采用缓冲区溢出(即利用未经保护的内存复制操作越过栈上数组的边界),将函数的返回地址重写为自己的指针。此外,任何用户指针甚至结构化的异常处理程序都可以导致代码注入。这里的关键问题在于判断重写哪些指针,也就是说,可靠地判断注入的代码应该在内存中的什么位置。

采用ASLR技术,进程每次启动时,地址空间都会被简单地随机化——只是偏移,不是搅乱。实现方式是通过内核将Mach-O的段“平移”某个随机数。

但是ASLR技术不是万能药。事实上,目前臭名昭著的“Star 3.0”漏洞就攻破礼物ASLR,这个漏洞越狱了iPad2上的iOS4.3。这种破解使用了Return-Oriented Programming(ROP)攻击技术,通过缓冲区溢出破坏栈,一设置完整的栈帧,模拟对libSystem的调用。

获取ASLR

iOS上我们可以直接使用dyld.h中的方法_dyld_get_image_vmaddr_slide来获取image虚拟地址的偏移量。_dyld_get_image_vmaddr_slide函数原型如下:

1
extern intptr_t  _dyld_get_image_vmaddr_slide(uint32_t image_index);

一般使用方法如下:

1
2
3
4
uint32_t c = _dyld_image_count();
    for (uint32_t i = 0; i < c; i++) {
     intptr_t index = _dyld_get_image_vmaddr_slide(i);
    }

哪里使用?

ALSR决定了虚拟地址在内存中会发生的偏移量。例如一个 segment_command_64vmaddr 字段决定了其在虚拟内存中的地址。但是其真正的内存地址则是vmaddr + ALSR

在fishhook中计算程序基址,使用动态符号表的虚拟地址和偏移来计算基址,具体算法如下:
基址 = __LINKEDIT.VM_Address - __LINK.File_Offset + silde的改变值
其中的silde就是由于ALSR所产生的随机偏移量。

本文作者: ctinusdev
本文链接: https://ctinusdev.github.io/2017/08/20/Mach-OBasis_ASLR/
转载请注明出处!

坚持原创技术分享,您的支持将鼓励我继续创作!