我对 PE 文件中部分标志中的 DISCARDABLE 标志很感兴趣,特别是在 Windows 驱动程序的上下文中(在本例中为 NDIS)。我注意到 INIT 部分在我正在审查的驱动程序中被标记为 RWX,这看起来很奇怪 - 良好的安全实践表明您应该采用 W^X 策略。
该部分的转储如下:
Name Virtual Size Virtual Addr Raw Size Raw Addr Reloc Addr LineNums RelocCount LineNumCount Characteristics
INIT 00000B7E 0000E000 00000C00 0000B200 00000000 00000000 0000 0000 E2000020
特征映射到:
IMAGE_SCN_MEM_EXECUTEIMAGE_SCN_MEM_READIMAGE_SCN_MEM_WRITEIMAGE_SCN_MEM_DISCARDABLEIMAGE_SCN_CNT_CODEINIT 部分似乎包含驱动程序入口,这意味着它可能用于确保驱动程序入口函数驻留在非分页内存中,而其余代码允许分页.不过,我不完全确定。我在驱动程序代码中看不到任何证据表明开发人员明确设置了页面标志,或者强制驱动程序进入一个单独的部分,所以看起来编译器自动完成了。我还手动翻转了驱动程序二进制文件中的可写标志以对其进行测试,并且它在没有启用写入的情况下工作正常,因此这意味着不需要 RWX。
所以,我的问题是:
到目前为止我看过的引用资料:
编辑,2022:我忘了更新这个,但在我发布这个问题一段时间后,我将它传递给了 Microsoft,结果证明它是 MSVC 链接器中的一个错误。他们错误地将包含 DriverEntry 的丢弃部分标记为 RWX。此问题已在 VS2015 中修复。
最佳答案
What is the INIT section used for in the context of a Windows...
它通常用于 DriverEntry() 函数。
How are discardable sections treated in the Windows kernel?
它允许丢弃包含 DriverEntry() 函数代码的页面。初始化驱动程序后不再需要它们。
Why would the compiler move the driver entry to an INIT section?
NDIS 驱动程序通常包含
#pragma NDIS_INIT_FUNCTION(DriverEntry)
这是WDK的inc/ddk/ndis.h头文件中的一个宏:
#define NDIS_INIT_FUNCTION(_F) alloc_text(INIT,_F)
#pragma alloc_text 是将函数移动到特定部分的方法之一。另一种常见的方法是将 DriverEntry 函数与 #pragma code_seg(INIT) 和 #pragma code_seg() 括起来。
Why would the compiler mark the section as RWX
这需要考古挖掘。许多驱动程序是很久以前开始的,并且可能仍在使用 ~VS6,那时候生活还很简单,程序员戴着白帽子。或者也许程序员使用了#pragma section,这是另一种命名部分的方法,它允许直接设置属性。现代工具链肯定不会这样做,您从#pragma alloc_text 获得 RX。考虑到 DriverEntry() 的生存时间非常短,并且任何以 ring0 权限运行的恶意代码都可能造成更多的实际损害,因此担心它没有什么意义。
关于windows - 如果标记为 RWX,可丢弃部分对内核驱动程序有什么影响?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/31142728/
类classAprivatedeffooputs:fooendpublicdefbarputs:barendprivatedefzimputs:zimendprotecteddefdibputs:dibendendA的实例a=A.new测试a.foorescueputs:faila.barrescueputs:faila.zimrescueputs:faila.dibrescueputs:faila.gazrescueputs:fail测试输出failbarfailfailfail.发送测试[:foo,:bar,:zim,:dib,:gaz].each{|m|a.send(m)resc
我需要在客户计算机上运行Ruby应用程序。通常需要几天才能完成(复制大备份文件)。问题是如果启用sleep,它会中断应用程序。否则,计算机将持续运行数周,直到我下次访问为止。有什么方法可以防止执行期间休眠并让Windows在执行后休眠吗?欢迎任何疯狂的想法;-) 最佳答案 Here建议使用SetThreadExecutionStateWinAPI函数,使应用程序能够通知系统它正在使用中,从而防止系统在应用程序运行时进入休眠状态或关闭显示。像这样的东西:require'Win32API'ES_AWAYMODE_REQUIRED=0x0
我有一个模型:classItem项目有一个属性“商店”基于存储的值,我希望Item对象对特定方法具有不同的行为。Rails中是否有针对此的通用设计模式?如果方法中没有大的if-else语句,这是如何干净利落地完成的? 最佳答案 通常通过Single-TableInheritance. 关于ruby-on-rails-Rails-子类化模型的设计模式是什么?,我们在StackOverflow上找到一个类似的问题: https://stackoverflow.co
我正在使用的第三方API的文档状态:"[O]urAPIonlyacceptspaddedBase64encodedstrings."什么是“填充的Base64编码字符串”以及如何在Ruby中生成它们。下面的代码是我第一次尝试创建转换为Base64的JSON格式数据。xa=Base64.encode64(a.to_json) 最佳答案 他们说的padding其实就是Base64本身的一部分。它是末尾的“=”和“==”。Base64将3个字节的数据包编码为4个编码字符。所以如果你的输入数据有长度n和n%3=1=>"=="末尾用于填充n%
我主要使用Ruby来执行此操作,但到目前为止我的攻击计划如下:使用gemsrdf、rdf-rdfa和rdf-microdata或mida来解析给定任何URI的数据。我认为最好映射到像schema.org这样的统一模式,例如使用这个yaml文件,它试图描述数据词汇表和opengraph到schema.org之间的转换:#SchemaXtoschema.orgconversion#data-vocabularyDV:name:namestreet-address:streetAddressregion:addressRegionlocality:addressLocalityphoto:i
为什么4.1%2返回0.0999999999999996?但是4.2%2==0.2。 最佳答案 参见此处:WhatEveryProgrammerShouldKnowAboutFloating-PointArithmetic实数是无限的。计算机使用的位数有限(今天是32位、64位)。因此计算机进行的浮点运算不能代表所有的实数。0.1是这些数字之一。请注意,这不是与Ruby相关的问题,而是与所有编程语言相关的问题,因为它来自计算机表示实数的方式。 关于ruby-为什么4.1%2使用Ruby返
我希望我的UserPrice模型的属性在它们为空或不验证数值时默认为0。这些属性是tax_rate、shipping_cost和price。classCreateUserPrices8,:scale=>2t.decimal:tax_rate,:precision=>8,:scale=>2t.decimal:shipping_cost,:precision=>8,:scale=>2endendend起初,我将所有3列的:default=>0放在表格中,但我不想要这样,因为它已经填充了字段,我想使用占位符。这是我的UserPrice模型:classUserPrice回答before_val
它不等于主线程的binding,这个toplevel作用域是什么?此作用域与主线程中的binding有何不同?>ruby-e'putsTOPLEVEL_BINDING===binding'false 最佳答案 事实是,TOPLEVEL_BINDING始终引用Binding的预定义全局实例,而Kernel#binding创建的新实例>Binding每次封装当前执行上下文。在顶层,它们都包含相同的绑定(bind),但它们不是同一个对象,您无法使用==或===测试它们的绑定(bind)相等性。putsTOPLEVEL_BINDINGput
我可以得到Infinity和NaNn=9.0/0#=>Infinityn.class#=>Floatm=0/0.0#=>NaNm.class#=>Float但是当我想直接访问Infinity或NaN时:Infinity#=>uninitializedconstantInfinity(NameError)NaN#=>uninitializedconstantNaN(NameError)什么是Infinity和NaN?它们是对象、关键字还是其他东西? 最佳答案 您看到打印为Infinity和NaN的只是Float类的两个特殊实例的字符串
如果您尝试在Ruby中的nil对象上调用方法,则会出现NoMethodError异常并显示消息:"undefinedmethod‘...’fornil:NilClass"然而,有一个tryRails中的方法,如果它被发送到一个nil对象,它只返回nil:require'rubygems'require'active_support/all'nil.try(:nonexisting_method)#noNoMethodErrorexceptionanymore那么try如何在内部工作以防止该异常? 最佳答案 像Ruby中的所有其他对象