SafeSEH 우회

SafeSEH는 전에 우회기술인 SEH Overwrite를 막기위해 나온 보호기법중 하나에요

SafeSEH는 예외핸들러가 실행되기전에 주소값을 검증하게되요

일단 Handler가 어떠한값에 의해 씌워지게되면 스택 주소인지 확인하고 만약 주소가 스택주소라면 호출하지않는 구조를 가지고있어요

그러니까 일반적으로 전에 사용했던, SEH Overwrite는 먹히지도않겠죠..그리고 두번째 검증도 까다로워요 ㅠ

그 주소가 바이너리내에서 로드된 모듈의 주소이고 그 모듈이 SafeSEH옵션으로 컴파일되어있으면 제대로된 절차로 덮여진 주소인지 확인해요

딱 여기서 해커들은 찾아냈죠 모듈중에 SafeSEH가 안걸려있는 모듈에서 가젯을 찾아오면되죠...

mona 파이썬을 이용한 immunity debugger인데,아래와같은 명령으로 해당 모듈이 어떤 보호기법이 걸려있는지 확인할수있어요

!mona modules 

그럼 여기서 SafeSEH가 false 되있는거로 따라가서 가젯을 찾아서 똑같이 덮어주면되겠죠!~