Stack Spoof - 堆栈欺骗技术详解<\/h1>

1. 背景知识<\/h2>

在Windows x86_32架构中，函数使用EBP（扩展基址指针）记录栈帧地址（调用者地址）。但在x86_64架构中：<\/p>

主要使用RSP（栈指针）同时作为"栈顶指针"和"帧指针"<\/li>

某些情况下仍会使用RBP（帧指针）：

动态栈分配<\/li>
异常处理<\/li>

需要稳定栈指针的场景<\/li> <\/ul> <\/li> <\/ul>

x86_64下无法通过EBP进行栈展开，改用PE文件中.pdata节的UNWIND信息表，其中记录了：<\/p>

每个函数的起止地址<\/li>
prologue\/epilogue中对栈的操作（通过UNWIND_CODE描述）<\/li>

系统和调试器使用这些信息进行回退操作<\/li> <\/ul>

2. ReturnAddress Truncation（返回地址截断）<\/h2>

原理<\/strong>：通过修改返回地址阻止栈回溯<\/p>

实现步骤<\/strong>：<\/p>

使用_AddressOfReturnAddress<\/code>获取返回地址位置<\/li>
保存原始返回地址<\/li>
将返回地址置为0<\/li>
执行目标操作（如Sleep）<\/li>
恢复原始返回地址<\/li> <\/ol> ULONG_PTR*<\/span> overwrite =<\/span> (ULONG_PTR*<\/span>)_AddressOfReturnAddress(); <\/span><\/span>ULONG_PTR origReturnAddress =<\/span> *<\/span>overwrite; <\/span><\/span>*<\/span>overwrite =<\/span> 0<\/span>; <\/span><\/span>Sleep(dwTime); <\/span><\/span>*<\/span>overwrite =<\/span> origReturnAddress; <\/span><\/span><\/code><\/pre>效果<\/strong>：<\/p> 调用栈无法回溯<\/li> 可能被检测为可疑行为（调用栈不可回溯本身是检测点）<\/li> <\/ul> 3. Stack Truncation（栈截断）<\/h2> 原理<\/strong>：破坏栈结构阻止分析<\/p> 实现思路<\/strong>：<\/p> 插入随机值破坏栈结构<\/li> 伪造调用链（需了解函数真实栈分配大小，记录在UNWIND_INFO中）<\/li> 保存原始返回地址<\/li> 截断栈（如push 0）<\/li> 使用Trampoline（跳板）恢复执行流：压入jmp rbx的Trampoline<\/li> 将restore地址存入rbx<\/li> 跳转到目标函数<\/li> <\/ul> <\/li> <\/ol> 恢复过程<\/strong>：<\/p> Trampoline将执行流转到restore模块<\/li> 恢复栈指针<\/li> 跳转到原始返回地址<\/li> <\/ol> 4. Stack Moon Walk（栈月步）<\/h2> 基于DEFCON提出的STACKMOONWALK技术，利用UNWIND的Windows栈回溯机制。<\/p> 关键帧操作<\/h3> 第一帧（UWOP_SET_FPREG）<\/strong>：<\/p> 将当前RSP或RSP偏移设置为RBP<\/li> 汇编实现：mov rbp, rsp<\/code>或类似操作<\/li> <\/ul> <\/li> 第二帧（UWOP_PUSH_NONVOL）<\/strong>：<\/p> 将RBP推送到堆栈<\/li> 汇编实现：push rbp<\/code><\/li> <\/ul> <\/li> <\/ol> 回溯流程<\/h3> 系统识别UWOP_SET_FPREG操作<\/li> 使用RBP作为新的栈指针<\/li> 识别UWOP_PUSH_NONVOL操作<\/li> 从栈中弹出值恢复RBP<\/li> <\/ol> 欺骗实现<\/h3> 在第二帧的push rbp<\/code>位置预先设置"伪造"的RBP值<\/li> 回溯过程中会将该值赋给RBP<\/li> 在第一帧回溯时，伪造的RBP会被用作新的栈指针<\/li> <\/ol> 完整流程<\/h3> 第一帧执行UWOP_SET_FPREG操作，设置帧指针<\/li> 第二帧推送RBP到堆栈（UWOP_PUSH_NONVOL）<\/li> 插入堆栈去同步框架（包含ROP小工具，执行JMP [RBX]<\/code>）<\/li> 插入RIP隐藏框架（包含堆栈枢轴小工具，隐藏原始RIP）<\/li> <\/ol> 5. 检测与绕过<\/h2> 现有检测方法<\/h3> 返回地址检测<\/strong>：<\/p> 对目标函数打补丁（int 3\/0xCC）<\/li> 注册VEH（Vectored Exception Handler）<\/li> 分析堆栈顶返回地址<\/li> <\/ul> <\/li> 指令序列检测<\/strong>：<\/p> 检查jmp前指令是否为call<\/li> Elastic检测：jmp rbx前不是call则报stack spoof<\/li> <\/ul> <\/li> <\/ol> 注意事项<\/h3> 修改RSP\/RBP需谨慎：<\/p> 除非函数设置了帧指针，否则在prologue\/epilogue外修改RSP是非法的<\/li> 需要精确控制StackOffsetWhereRbpIsPush<\/li> <\/ul> <\/li> 伪造调用链需准确：<\/p> 必须知道函数真实栈分配大小<\/li> 需正确处理UNWIND_INFO结构<\/li> <\/ul> <\/li> <\/ol> 6. 参考实现<\/h2> ; 示例汇编代码片段 <\/span><\/span><\/span>; 第一帧 - UWOP_SET_FPREG <\/span><\/span><\/span><\/span>mov<\/span> rbp<\/span>, rsp<\/span> <\/span><\/span>sub<\/span> rsp<\/span>, 0x20<\/span> <\/span><\/span> <\/span><\/span>; 第二帧 - UWOP_PUSH_NONVOL <\/span><\/span><\/span><\/span>push<\/span> rbp<\/span> ; 在此处可预先设置伪造的RBP值 <\/span><\/span><\/span><\/span> <\/span><\/span>; ROP小工具 <\/span><\/span><\/span><\/span>jmp<\/span> [rbx<\/span>] ; 用于跳转到真正的控制流 <\/span><\/span><\/span><\/code><\/pre>7. 参考链接<\/h2> DEFCON 31 StackMoonwalk Presentation<\/a><\/li> Stack Spoofing on dtsec.us<\/a><\/li> klezvirus Red Teaming笔记<\/a><\/li> BattlEye Stack Walking检测<\/a><\/li> <\/ol>