控制流保护(CFG)是Windows的一种安全机制，其目的是通过检查间接调用的目标地址是否是有效的函数来减轻执行流的重定向，我们可以用这个例子作分析。

0x01 CFG是怎样工作的

通过这个例子，我们用MSVC编译器编译一个exe文件，看看在调用main()之前生成和执行了什么代码：

1. call __scrt_get_dyn_tls_init_callback 
2. mov esi, eax 
3. … 
4. mov esi, [esi] 
5. mov ecx, esi 
6. call ds:__guard_check_icall_fptr 
7. call esi 

函数 scrt_get_dyn_tls_init_callback得到一个指向TLS回调表的指针，以调用第一个条目，回调的函数受到CFG的保护，因此编译器在执行ESI中的目标地址之前添加代码以检查函数地址是否有效。

随后执行：

1. __guard_check_icall_fptr dd offset _guard_check_icall_nop 
2. _guard_check_icall_nop proc near 
3.  retn 
4. _guard_check_icall_nop endp 

retn可以绕过，为什么？ 这样程序就可以在不支持CFG的旧操作系统版本中运行 。 在支持它的系统中 ，

_guard_check_icall_nop地址会被NT DLL中的Ldrp验证用户调用目标替换：

1. ntdll!LdrpValidateUserCallTarget: 
2. mov edx,[ntdll!LdrSystemDllInitBlock+0xb0 (76fb82e8)] 
3. mov eax,ecx 
4. shr eax,8 
5. ntdll!LdrpValidateUserCallTargetBitMapCheck: 
6. mov edx,[edx+eax*4] 
7. mov eax,ecx 
8. shr eax,3 

0x02 Bitmap简介

对于CFG，他们在Load Config目录中的PE中添加了一堆新字段 ： Guard CF Check 函 数 指 针 ， 该 指 针 指 向guard_check_icall_ptr，是要替换的函数地址和Guard CF函数表， 该表包含所有要设置为有效目标的函数的RVA，在加载PE时创建的Bitmap中。

验证用户调用目标的Ldrp从该第一指令中的LdrSystemDllInit块+0xb0获取Bitmap的地址。 Bitmap包含整个过程中每16个字节的“状态”， 当加载PE时，表中的RVAs被转换为偏移量， 然后相应地设置该偏移量处的状态。