资料下载
为什么要进行栈的保护根据Windows和Linux的详细资料讲解
131594
分享资料个
对于为何要保护堆栈,请以“缓冲区溢出”,“堆栈”为关键词google一下,本文不再赘述。只要你的程序要调用函数,那么就要使用堆栈,不进行函数调用的程序已经很少了吧,难道你能忍受通篇的jmp,jne.。。等等手工作坊的方法吗?在linux和windows 上,保护栈的方式最重要的莫过于两种, 一个是使用堆栈安全cookie;另一个是使栈不可执行。
上面提到的两种方式中,安全cookie提供了更大的保护,而不可执行栈在遇到溢出代码放到堆的时候就很难奏效了,先看看安全cookie是怎么一回事。 在传统的函数调用时,栈自下而上是:参数--》返回地址--》老的栈底指针--》局部变量--》。。.如果局部变量发生向下溢 出,覆盖了函数的返回地址,那么程序一点脾气也没有,乖乖听任你的摆布,但是这种错误的行为是在被调函数返回的时候发生的,如果被调函数有漏洞,那么我们希望的是在它返回的时候,也就是出了它的控制范围的时候主动地报出错误,而不是将错就错,那么就需要一种有效的方式来检测到错误的发生,于是安全 cookie就临危受命了,它实际上就是在参数--》返回地址--》老的栈底指针--》局部变量--》。。.中间插入了一个 cookie,使得这个结构变为了参数--》返回地址--》老的栈底指针--》cookie--》局部变量--》。。.这 个cookie是每个程序映像都有的一个数值,最好就是一个随机值,当函数调用的时候,编译器自动插入(编译的时候编译器知道何时进行函数调用,比如 call)一个cookie,这个cookie在程序启动的时候被初始化为随机值(如果不是随机值,我们考虑最极端的情况,比如就是1,那么攻击者就知道 把kookie的位置覆盖为1就不会导致cookie 检查失败了),当程序返回的时候系统会检查堆栈的cookie和程序的cookie是否一致,如果不 一致,那么就报错。
以上的方式很不错吗?考虑一下以下的问题:如果攻击者知道程序的cookie所存放的位置,那么他就会知道cookie的值,于是他就知道应该将堆栈中 cookie位置的值覆盖成什么,即使你将cookie的存放位置设为不可读也不好,因为攻击者总能通过各种淫乱的手段达到目的,试问你是保护 cookie函数保护函数返回值?另外一个问题:当cookie检查失败,该怎么办?就算 cookie检查失败,缓冲区确实溢出,但是此时操作系统内核并 不知道发生的一切(前提是只要别溢出到内核空间),于是想让系统在检查失败时就自动陷入内核是不可能的,一切必须手动进行,在用户空间进行,如果想让内核帮忙处理,就要手动进行陷入(x86种int指令),如果不需要内核处理就在用户空间了断,不管哪种方式,都要在检查失败后跳到一段代码,我们姑且把它叫做异常处理代码,那么问题来了,如果攻击者将这段异常处理代码攻击了怎么办,这不成了个怪圈了吗?是的,这是个怪圈,缓冲区溢出错误既然发生,你就谁也别 怪,错就错在你的代码写的不严密有漏洞,指望缓冲区溢出检查机制无论怎样结果都是不可信的,记住,计算机系统中只有一种可信的软件,就是操作系统内核(存在内核的前提下,当然不包括裸奔的单片机),而用户空间的缓冲区溢出又没有严重到内核必须接管的地步(它可没有缺页异常严重),既然用户空间的任何机制都 不可信,那么你还指望所谓严密的缓冲区溢出检查机制吗?
声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
- 相关下载
- 相关文章
