BufferOverflow机理剖析一.docVIP

　使用Buffer Overflow 方法来入侵目的主机是黑客们经常采用的一种手段,本文将几篇介绍其机理的文章作了一些加工整理, 对它的机理作出了由浅入深的剖析. 　　本文分为下面几个部分, 朋友们可以按照自己的兴趣选择不同的章节: 　　1.关于堆栈的基础知识 　　2.Buffer Overflow 的原理 　　3.Shell Code 的编写 　　4.实际运用中遇到的问题 　　5.附录 I 若干操作系统/平台上的 Shell Code 　　6.附录 II 通用 Buffer Overflow 攻击程序 --------------------------------------------------------------------------------　　1. 关于堆栈的基础知识　　一个应用程序在运行时,它在内存中的映像可以分为三个部分: 代码段, 数据段和堆栈段(参见下图). 代码段对应与运行文件中的 Text Section ,其中包括运行代码和只读数据,这个段在内存中一般被标记为只读,任何企图修改这个段中数据的指令将引发一个 Segmentation Violation 错误.　　数据段对应与运行文件中的 Data Section 和 BSS Section ,其中存放的是各种数据(经过初始化的和未经初始化的)和静态变量. 　　下面我们将详细介绍一下堆栈段. ｜－－－－－－－－｜　虚存低端 ｜　　　　　　　　｜ ｜　　代码段　　　｜ ｜　　　　　　　　｜ ｜－－－－－－－－｜ ｜　　　　　　　　｜ ｜　　数据段　　　｜ ｜　　　　　　　　｜ ｜－－－－－－－－｜ ｜　　　　　　　　｜ ｜　　堆栈段　　　｜ ｜　　　　　　　　｜ ｜－－－－－－－－｜　虚存高端 　　堆栈是什么?　　如果你学过数据结构这门课的话, 就会知道堆栈是一种计算机中经常用到的抽象数据类型. 作用于堆栈上的操作主要有两个: Push 和 Pop , 既压入和弹出. 堆栈的特点是LIFO(Last in , First out), 既最后压入堆栈的对象最先被弹出堆栈.　　堆栈段的作用是什么?　　现在大部分程序员都是在用高级语言进行模块化编程, 在这些应用程序中,不可避免地会出现各种函数调用, 比如调用C 运行库,Win32 API 等等. 这些调用大部分都被编译器编译为Call语句. 当CPU 在执行这条指令时, 除了将IP变为调用函数的入口点以外, 还要将调用后的返回地址放入堆栈. 这些函数调用往往还带有不同数量的入口参数和局部变量, 在这种情况下,编译器往往会生成一些指令将这些数据也存入堆栈(有些也可通过寄存器传递). 　　我们将一个函数调用在堆栈中存放的这些数据和返回地址称为一个栈帧(Stack Frame).　　栈帧的结构:　　下面我们通过一个简单的例子来分析一下栈帧的结构. void proc(int i) { 　int local; 　local=i; } void main() { 　proc(1); } 　　这段代码经过编译器后编译为:(以PC为例) main：push　1 　　　call　 proc 　　　．．． proc：push　ebp 　　　mov　ebp,esp 　　　sub　esp,4 　　　mov　eax,[ebp+08] 　　　mov　[ebp-4],eax 　　　add　esp,4 　　　pop　ebp 　　　ret　4 　　下面我们分析一下这段代码. main：push 1 　　　call proc 　　首先, 将调用要用到的参数1压入堆栈,然后call proc proc：push ebp 　　　mov ebp,esp 　　我们知道esp指向堆栈的顶端,在函数调用时,各个参数和局部变量在堆栈中的位置只和esp有关系,如可通过[esp+4]存取参数1. 但随着程序的运行,堆栈中放入了新的数据,esp也随之变化,这时就不能在通过[esp+4]来存取1了. 因此, 为了便于参数和变量的存取, 编译器又引入了一个基址寄存器ebp, 首先将ebp的原值存入堆栈,然后将esp的值赋给ebp,这样以后就可以一直使用[ebp+8]来存取参数1了. 　　　sub esp,4 　　将esp减4,留出一个int的位置给局部变量 local 使用, local可通过[ebp-4]来存取 　　　mov　eax,[ebp+08] 　　　mov [ebp-4],eax 就是 local=i; 　　　add esp,4 　　　pop ebp 　　　ret 4 　　首先esp加4,收回局部变量的空间,然后pop ebp, 恢复ebp原值,最后 ret 4,从堆栈中取得返回地址,将EIP改为这