绕过CFG：利用ChakraJIT的攻击技术

"本文主要探讨了如何在攻击Internet Explorer和Edge浏览器时绕过Microsoft的控制流防护(CFG)机制，重点介绍了基于ChakraJIT的绕过策略。文章假设攻击者已经具备读写内存的权限，并简述了CFG作为安全防护机制的基本原理，即通过检查间接调用和跳转指令的目标地址来防止控制流劫持。虽然CFG增加了攻击的难度，但其对堆栈保护的缺失以及非全局应用性为攻击留下了空间。 ChakraJIT是微软JavaScript引擎的一部分，负责生成优化的JIT代码。它的工作流程包括多个阶段，如FullJITCompiler和Garbage Collection，其中FullJITCompiler在后台线程中生成本地代码。在Func::Codegen()函数中，字节码被转化为中间表示(IR)，随后经过优化、寄存器分配等步骤，最后由Encoder::Encode()编码成本地机器码。 在绕过CFG的过程中，攻击者可能会利用ChakraJIT的编译过程中的弱点，比如在JIT编译的某个阶段篡改代码，以避开CFG的检查。具体方法可能涉及修改IR、插入恶意指令或者利用JIT优化阶段的特性。由于CFG不涉及堆栈保护，攻击者还可以利用返回导向编程(ROP)技术来构建攻击链。 绕过技术通常需要深入理解ChakraJIT的内部工作原理，包括其编译优化和编码过程。通过精心设计的内存操作，攻击者可能能够构造出看似合法但实际上执行恶意代码的指令序列，从而绕过CFG的防御。这通常需要对JIT编译器的内部结构有深入了解，以及对二进制代码分析和逆向工程的精通。 基于ChakraJIT的CFG绕过技术是一种高级的利用技术，需要攻击者具备深厚的编程和安全知识。这种技术的应用可能导致严重的安全威胁，因为一旦成功，攻击者就可以在受保护的环境中执行任意代码。因此，对于开发者和安全研究人员来说，理解并防范这种绕过策略至关重要，这包括强化代码审查、更新安全补丁以及采用更先进的防御技术，如软件防护模块(SPM)和内存安全编程实践。"