NX ビットと ASLR の両方で保護されている x86-64 上の Windows で攻撃者が命令ポインターを制御できるようになった場合、NX ビット保護はどのようにオフになりますか? この機能を無効にするシステム コールは、単純に ASLRed 以外のアドレスにあり、直接呼び出すことができると思いますか?
ヒープ スプレーは、最新の Windows マシンを悪用するために頻繁に使用されるようです (Javascript 実装のバグなど)。Windowsでこれがどのように行われるかを明確に示している紙はありますか?
通常、エクスプロイトにはROP 攻撃が含まれます。ROP 攻撃は、何らかのシステム コールを直接呼び出したり (たとえば、シェルを生成するため)、またはVirtualProtect()NX ビットを無効にするために呼び出したりする可能性があります。
多くの場合、ROP 攻撃の 1 つのステップは、予測可能な場所 (たとえば、 ASLR にオプトインしなかった DLL )で少なくともいくつかのコードを見つけるか、攻撃者がコードの場所を予測できるようにする情報開示の脆弱性を見つけることです。攻撃者は、予測可能なアドレスでガジェットを見つけることができます。攻撃者が任意のガジェットを実行できるようになると、通常はゲーム オーバーになります。たとえば、エクスプロイト コードは、VirtualProtect().
ヒープを実行可能にする方法を尋ねます。答えは、ROP 攻撃を使用するときにヒープを実行可能にする必要がないため、ヒープは実行可能にしないということです。実際、これが ROP 攻撃が一般的に使用される理由の 1 つです。