我使用Ollydbg查看了可执行文件的内存映射,并注意到一个访问RWE的区域。出于安全考虑,我认为不可能同时拥有W和E标志。
所以:
是否可以拥有一个既可写又可执行的区域?
如果是 - 那么数据执行预防呢?怎么样的XOR(eXecute或wRite)?
答案 0 :(得分:1)
所有自修改可执行文件都需要写入和执行权限 您如何认为可以解密某些字节用另一组解密字节替换原始字节并执行修改后的指令
(因此每个打包器写入暗示写访问的部分并执行修改的指令,因此执行访问
可以在编译时完成,也可以使用VirtualProtect()函数
动态完成数据执行保护意味着它不会执行定义为数据部分的部分 dep不会阻止section被声明为数据和可执行文件
Dep等用于缓解像ProcessHeaps这样的公共区域中的执行,而不是在图像区域中