深入浅出实战攻防恶意PDF文档

核心提示： 使用内嵌的JavaScript的问题是，我们不能直接写内存，深入浅出实战攻防恶意PDF文档(8)，Heap Spraying（堆喷射）是一种较易获得任意代码执行Exploit的技术手段， 每当我们在JavaScript中声明字符串并为其赋值时，如此下去直到它到达我们的shellcode并且

使用内嵌的JavaScript的问题是，我们不能直接写内存。Heap Spraying（堆喷射）是一种较易获得任意代码执行Exploit的技术手段。 每当我们在JavaScript中声明字符串并为其赋值时，这个字符串就会被写到一段内存中，这段内存是从堆中分配的，所谓堆就是专门预留给程序变量的一部分内存。 我们没有影响被使用的那些内存，所以我们不能命令JavaScript使用地址0x30303030的内存。 但是如果我们分配大量的字符串，那么很可能其中的一个字符串分配的内存中包含了地址0x30303030。 分配许许多多的字符串称为Heap Spraying（堆喷射）。

如果我们在堆喷射之后执行我们的PoC，就很有可能得到一个从地址0x30303030之前的某处开始、从地址0x30303030之后的某处终止的字符串，这样的话，该字符串中（起始于地址0x30303030）那些字节就会被CPU当作机器代码语句来执行。

但是，如何让我们指定的字符串包含用来利用起始于地址0x30303030的机器指令的正确语句呢？ 同样，我们也无法直接完成这个任务；我们需要一种迂回战术。

如果我们设法使一个字符串被CPU当作机器代码程序(shellcode)来解释的话，那么CPU将开始执行我们从地址0x30303030开始的程序。 不过这个方法不太理想；我们的程序必须从它的第一条指令开始执行，而不是从中间的某个地方开始执行。为了解决这个问题，我们需要在程序前面填充大量NOP指令。 我们在用于堆喷射的字符串中存储这个NOP-sled，继之以我们shellcode。 NOP-sled是一个特殊程序，它的特性是每个指令的长度都是单字，而且每个指令都没有时间的操作（NOP，即空操作 ）,那就是说 CPU不断执行下一个NOP指令，如此下去直到它到达我们的shellcode并且执行它（滑下NOP-sled）。

下面是一个堆喷射的范例，实际取自一个带有NOP-sled和shellcode的恶意PDF文档（参见 图 3）。