基于緩沖區溢出攻擊的shellcode編碼技術研究

沈陽理工大學信息科學與工程學院 高 珊 李愛華 趙曉雯

1 引言

緩沖區是程序運行期間在內存中分配的一個連續的區域。所謂緩沖區溢出，就是向固定長度的緩沖區中寫入超出其預告分配長度的內容，從而覆蓋了緩沖區周圍的內存空間。攻擊者要實現緩沖區溢出攻擊，一般都要完成下面三個步驟：

（1）構造需要執行的代碼shellcode（即緩沖區溢出攻擊中植入進程的代碼，可用來實現特定攻擊或獲取權限），并將其放到目標系統的內存；

（2）獲得緩沖區的大小和定位溢出點ret的位置；

（3）控制程序跳轉，改變程序流程。

對于緩沖區溢出攻擊來說，shellcode起到了至關重要的作用。然而在很多漏洞利用場景中，shellcode的內容將會受到限制，通過對其編碼可以在一定程度上解決該問題。

2 shellcode常用編碼

要想突破重重防護，把shellcode安全送入堆棧，不難想到的一個方法就是給shellcode喬裝打扮，讓它通過防守再采取行動。首先設計好shellcode，然后使用編碼技術對其進行編碼，使它達到各種限制要求，最后構造解碼程序，在真正的shellcode之前加上幾條解碼指令。當exploit成功后，首先運行頂端的解碼程序，這會將經過編碼的shellcode還原成原來的樣子，然后再執行。

2.1 異或法

最簡單的編碼方式莫過于異或運算了，該方法所依據的原理是一個數與另一個數做兩次異或運算，得到的還是它本身，即A xor B xor B=A?？梢酝ㄟ^編程讓shellcode逐個字節地與某個特定數據（key）做異或運算，使shellcode的內容符合要求。

在編碼時需注意以下幾點：

（1）在選取key時，不要選擇shellcode中已有的字節，這樣會導致NULL字節的出現；

（2）可以選擇多個key對shellcode的不同區域分別進行編碼；

（3）可以對shellcode進行多輪次的編碼。

2.2 微調法

有時shellcode或者解碼指令中只是有個別非法字符，那么可以采用微調法。它就是在不影響指令原本功能的情況下，對不符合要求的指令進行等價替換。例如：攻擊IIS的shellcode里不能有0x20，如果想要實現將ebx的值減去0x20，可有兩種不同的表達方式，一種是直接表示成mov ebx 20h，另一種是采用微調法表示成mov ebx 32h；sub ebx 12h，這兩種不同的表達方式實現的功能是相同的，但是第二種方式避免了在代碼中出現0x20。

2.3 字符拆分法

字符拆分法是把shellcode中的字符拆分成其他幾個符合要求的字符，然后在解碼的時候，再將字符合起來，恢復成原來的shellcode。

第一種拆分法是把shellcode中的字符拆分成若干個數字的和，這樣一來就會有很多種拆分方式，可以避免一些限制字符。例如：可將0x20拆分成0x03+0x05+0x06+0x06，解碼時從頭開始每4個字節一相加，這樣就又恢復為原來的shellcode。

第二種拆分法是乘積的拆分法，舉例來說就是在編碼時把0xAB拆分成0xA和0xB，解碼時通過0xA*0x10+0xB=0xAB來恢復。

3 shellcode編碼設計及實現

3.1 改進的shellcode編碼設計

以上介紹的幾種shellcode編碼方法各有所長，但在實際應用中僅僅選擇其中某種編碼方法，很難達到要求。對此本文提出一種將異或法與微調法相結合的編碼方法。異或法最大的優點就是編碼和解碼都比較簡單，可以有效的避開一些限制字符，但該方法有一定的適應性，比如在經過一次或幾次異或編碼之后可能仍存在非法字符，或者解碼指令decode本身就存在非法字符，這時再采取異或法改變key值是解決不了問題的，可以結合微調法對shellcode或解碼程序中僅有的幾個非法字符作調整以滿足要求。

3.2 shellcode編碼實現

以win2000中文版SP3下開DOS窗口的shellcode為例。由于shellcode中有”x00”，所以首先通過自己編寫的編碼器對shellcode進行編碼，異或0x97，這樣得到的enshellcode中就不含有”x00”了，執行效果如圖1所示。

圖1 獲得enshellcode結果圖

編碼之后還需要編寫一段解碼程序decode，其對應的匯編代碼如下：

jmp decode_end //獲取enshellcode的地址

decode_start:

pop edx

dec edx

xor ecx,ecx

mov ecx,0x200 //enshellcode的長度0x200足夠

decode_loop:

xor byte ptr[edx+ecx],0x97 //解碼時的key也為0x97

loop decode_loop //循環實行解碼操作

jmp decode_ok //解碼完畢

decode_end:

call decode_start

decode_ok: //后面接enshellcode

然后可得到decode的機器碼為：“xEBx10x5Ax4Ax33xC9x66xB9x00x02x80x34x0Ax97xE2xFAxEBx05xE8xEBxFFxFFxFF"。此時，發現decode中有”x00”，但是再使用異或法改變key值是解決不了問題的。這種情況就需要結合其他的方法，可以選擇微調法。經分析這是由于匯編代碼中有”0x200”，那么可將其改為”0x201”，就沒有”x00”了。

最后把decode和enshellcode一起送入裝載器測試，結果如圖2所示。

圖2 執行結果圖

4 測試結果分析

在上述的例子中，首先通過異或法對shellcode編碼起到了避免截斷的效果，之后卻發現解碼指令decode中還存在不合法字符，這種情況使用異或法改變key值是解決不了問題的，不僅會降低編碼效率，還會影響shellcode的執行效果。這時結合微調法將decode稍作修改便符合要求了。結果表明這種經過改進的編碼方法能夠實現shellcode的有效性，提高編碼效率。

5 小結

基于緩沖區溢出攻擊研究了幾種shellcode的編碼方法，分析了異或法、微調法、字符拆分法各自的編碼特點。在此基礎上，提出了一種將異或法與微調法相結合的shellcode編碼方法以提高編碼效率。

給出改進的shellcode編碼設計及實現，并對測試結果進行了分析，測試結果表明此shellcode編碼實現了植入代碼的準確性及有效性，對緩沖區溢出攻擊的防御研究具有一定的參考價值。