تقييم الموضوع :
  • 0 أصوات - بمعدل 0
  • 1
  • 2
  • 3
  • 4
  • 5
ما هو ASLR ؟ وكيف الاستفادة منه لبرامج المضغوطة
#1
بسم الله الرحمن الرحيم
السلام عليكم ورحمة الله وبركاته 


كيفكم شباب ان شاء الله تكونوا بالف صحة وعافيه 

شباب هذه شرح كتابي ماهو ASLR ؟ 

طبعا توجد برامج تكون مضعوطة مثلا Vmprotect  نرى ان كل مرة نحمله الى منقح تتغير العناوين و تغير هذه العناوين يتم من خلال ASLR 

هذا شرح بسيط ماهو ASLR 

ما هو ASLR
 إن ASLR هو اختصار لـ Address space layout randomization وهي نوع من الحماية الاحترازية للحاسوب ، حيث تقوم على إعادة ترتيب مناطق البيانات المهمة بشكل عشوائي ، و عادة يتم خلط أساس الملف التنفيذي و أماكن المكتبات البرمجية و المكدس و الذاكرة العشوائية في فضاء عناوين العملية.
وتكمن فاعلية هذه العملية أنها تجعل عملية الاستفادة من الثغرات المكتشفة أمر صعب ، حيث تصعب على المهاجم معرفة أماكن العناوين المستهدفة ، فعلى سبيل المثال في هجوم return-to-libc attacks الذي يبدأ بطفح المكدس buffer overflow ثم يتم استبدال عنوان الرجوع لدالة return في المكدس بعنوان لأمر جديد ، فهذه العملية نجد أن على المهاجم أن يجد المكدس أول ليستغل هذه الثغرة ، و مع وجود ASLR فإن عملية إيجاد المكدس تصبح عملية ليست بالسهلة و تحتاج إلى تخمين ، و في حال فشل التخمين فإن التطبيق سينهار ، فكما تلاحظ أن مهمة ASLR هي جعل الاستفادة من الثغرات أمر صعب لدرجة ما.
تاريخيا أول من اخترع و صك مصطلح ASLR هو مشروع PaX  في يوليو 2001م ، و ظل مشروع أكمل تطبيق لهذا المفهوم حتى الآن ، و هو يقدم عشوائية المكدس لنواة اللينكس من أكتوبر 2002 م لحد الآن ، و تقوم توزيعة Adamantix و  Hardened Gentoo و  Hardened Linux From Scratch بتضمين مشروع PaX بشكل افتراضي.
أما نواة اللينكس الافتراضية فهي تتضمن شكل ضعيف من ASLR وهي مفعلة بشكل افتراضي من إصدارة 2.6.12 ، و يوجد مجموعتي رقع PaX و ExecShield لمن أراد حلول كاملة من ASLR.
كذلك تدعم ويندوز فيستا و ويندوز سيرفر 2008 ALSR بشكل افتراضي مع بعض التحفظات المتعلقة بالتوافقية مع التطبيقات القديمة.
كلذك يدعم OpenBSD تقنية ASLR ، بينما يقف نظام الماك متخلفا عن الركب مع بعض التحسن في الآونة الأخيرة.
المصدر




طبعا لاطفاء ASLR بالويندوز 

نفتح Registry بالويندوز 

خطوات الاطفاء


1- نفتح regedit
2-Hkey_local_Machine 
SYSTEM -3
CurrentControlSet- 4
Control -5
Session Manager -6
Memory Management -7
8- بعدها نضيف نضيف مفتاح من نوع Dword 32bit value  ونسميه MoveImages
لتعطيل ASLR نضيف قيمة صفر (0)



بهذا يمكننا الاستفادة منه بعض المرات لعمل هووك او لودر للحمايات مثلا Vmprotect ... الخ الان بعده اطفاء ASLR العناوين تبقى نفسها ولا تتغير 
أعضاء أعجبوا بهذه المشاركة : Small Axe , farfes , mohamad , M!X0R , xdvb_dz , PowerUser , samoray , Sanad-Rizeq
#2
شكرا لك أخي 
تمت التجربة على أحد الشركات فكانت جيدة
أعضاء أعجبوا بهذه المشاركة : the9am3
#3
وضعتها على شكل باتش لتسهيل استخدامها من قبل المبيتدئين


الملفات المرفقة
.rar   anti-aslr.rar (الحجم : 58.21 KB / التحميلات : 8)
أعضاء أعجبوا بهذه المشاركة : mohamad , the9am3
#4
(19-05-2020, 01:58 PM)Sanad-Rizeq كتب : وضعتها على شكل باتش لتسهيل استخدامها من قبل المبيتدئين

الباتش لا يعمل
يكتب قيمة خاطئة NewImages مكان MoveImages

و للتعديل بطريقة سهلة و آمنة (دون الحاجة لملفات تنفيذية) يمكننا حفظ هذه الأسطر داخل ملف FixASRL.reg ثم تشغيله :
Windows Registry Editor Version 5.00


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management]
"MoveImages"=dword:00000000
مهم:
يجب اعادة تشغيل الجهاز لكي يتم تفعيل الخيار.
أعضاء أعجبوا بهذه المشاركة : the9am3 , PowerUser


التنقل السريع :


يقوم بقرائة الموضوع: بالاضافة الى ( 1 ) ضيف كريم