突破SafeSEH之理论篇

工作原理：编译器启动SafeSEH选项后，在编译时将所有异常处理函数地址编入一张表，俗称“良民册”。当程序调用异常处理函数时，会检查该函数是否位于该册^①。
①处再具体一些：

1. 检查异常处理链是否位于当前程序的栈中，若不在则停止调用异常处理函数
2. 检查异常处理函数指针是否位于当前程序的栈中，若在则停止调用异常处理函数
3. 前两个通过则调用RtlIsValidHandler()来验证异常处理函数的有效性
   （我觉得原图有点问题，所以把其中一条路径改了）
   伪代码如下：

BOOL RtlIsValidHandler( handler )
{
    if (handler is in the loaded image)      // 在加载模块的内存空间内
    {
        if (image has set the IMAGE_DLLCHARACTERISTICS_NO_SEH flag)
            return FALSE;                    // 程序设置了忽略异常处理
        if (image has a SafeSEH table)       // 含有 SafeSEH 表说明程序启用了 SafeSEH
            if (handler found in the table)  // 异常处理函数地址在表中
                return TRUE;
            else
                return FALSE;
        if (image is a .NET assembly with the ILonly flag set)
            return FALSE;                    // 包含 IL 标志的 .NET 中间语言程序
    }

    if (handler is on non-executable page)   // 在不可执行页上
    {
        if (ExecuteDispatchEnable bit set in the process flags)
            return TRUE;                     // DEP 关闭
        else
            raise ACCESS_VIOLATION;          // 访问违例异常
    }

    if (handler is not in an image)          // 在可执行页上，但在加载模块之外
    {
        if (ImageDispatchEnable bit set in the process flags)
            return TRUE;                     // 允许加载模块内存空间外执行
        else
            return FALSE;
    }
    return TRUE;                             // 允许执行异常处理函数
}

可知有四条路径允许异常处理函数执行，分别对应上图通向验证通过的四个箭头。（《0day》和网上所查资料都只说了三条路径，暂不知为何。所以图中最下方的那条路径本文暂时不涉及。）
所以突破SafeSEH的方法有：

1. 不攻击S.E.H，直接考虑ret攻击或者覆盖虚表等
2. 在DEP关闭的前提下，在加载模块内存范围外找跳板指令跳入shellcode
   程序加载到内存后，在它所占的内存空间里，除了PE模块、dll模块，还有一些映射文件：
   
   当异常处理函数指针位于这些地址时，SafeSEH会无视掉。
3. 攻击没有启用SafeSEH的模块
4. 清空模块的安全S.E.H表，营造未开启SafeSEH的假象；（将我们的指令注册到安全S.E.H表中是不太可能的，因为其加密存储）
5. 终极杀器：用堆区shellcode地址覆盖S.E.H中的异常处理函数地址，当发生异常时，就可以直接跳转执行!（就算该地址不在“良民册”上也无所谓）