CISP-缓冲区溢出解析.ppt

  1. 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
  2. 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  3. 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
缓冲区溢出 中国信息安全测评中心 2009年10月 缓冲区溢出简介 基本的思想 通过修改某些内存区域,把一段恶意代码存储到一个缓冲区中,并且使这个缓冲区被溢出,以便当前进程被非法利用(执行这段恶意的代码) 危害性 在UNIX平台上,通过发掘缓冲区溢出, 可以获得一个交互式的shell 在Windows平台上,可以上载并执行任何的代码 溢出漏洞攻击极简单,而且可以穿透防火墙 进程的内存空间示意图 Stack Heap Bss Data Text x86的汇编基础 段式结构 从段式结构 - 线性结构 内存区域的访问控制 段描述符 指令流的控制 CS:EIP Jmp指令(及其他跳转指令) Call指令/ret 栈段SS 两个指针:ESP(动态), EBP(静态) Call/ret指令 Push/pop/pusha/popa 堆栈 C/C++程序分块 栈区(stack)— 由编译器自动分配释放 ,存放函数的参数值,局部变量的值等。其操作方式类似于数据结构中的栈。 堆区(heap) — 一般由程序员分配释放, 若程序员不释放,程序结束时可能由OS回收 。它与数据结构中的堆不同,分配方式类似于链表。 全局区(静态区)(static)— 全局变量和静态变量的存储是放在一块的,初始化的全局变量和静态变量在一块区域, 未初始化的全局变量和未初始化的静态变量在相邻的另一块区域。程序结束后由系统释放。 文字常量区 — 常量字符串就是放在这里的,程序结束后由系统释放 。 程序代码区 — 存放函数体的二进制代码。 堆栈 例: int a = 0; 全局初始化区 char *p1; 全局未初始化区 main() {   int b; 栈   char s[] = abc; 栈   char *p2; 栈   char *p3 = 123456; 123456\0在常量区,p3在栈上。   static int c =0; 全局(静态)初始化区   p1 = (char *)malloc(10);   p2 = (char *)malloc(20); } 堆栈 区别 申请方式 堆:需要程序员自己申请,并指明大小。 栈:由系统自动分配。 申请后的系统响应 堆:首先应该知道操作系统有一个记录空闲内存地址的链表,当系统收到程序的申请时,会遍历该链表,寻找第一个空间大于所申请空间的堆结点。 栈:只要栈的剩余空间大于所申请空间,系统将为程序提供内存。连续分配。 大小限制 堆:堆是向高地址扩展的数据结构,是不连续的内存区域。 栈:在 WINDOWS下,栈的大小是2M。 堆栈 区别 申请效率 堆:速度慢,而且容易产生内存碎片,用起来方便。 栈:自动分配,速度较快,但程序员无法控制。 存储内容 堆:堆的头部用一个字节存放堆的大小。堆中的内容由程序员提供。 栈:入栈(压栈)、退栈。主要是调用过程的返回地址。 存取效率 堆:动态分配,慢,是栈的3~5倍。 栈:编译时就确定,快。 堆栈 重要的两个知识点 在函数调用时,第一个进栈的是主函数中函数调用后的下一条指令(函数调用语句的下一条可执行语句)的地址,然后是函数的各个参数,在大多数的C编译器中,参数是由右往左入栈的,然后是函数中的局部变量。注意静态变量是不入栈的。 当本次函数调用结束后,局部变量先出栈,然后是参数,最后栈顶指针指向最开始存的地址,也就是主函数中的下一条指令,程序由该点继续运行。 计算机无法有效的区分数据和执行代码 缓冲区溢出原因 在C语言中,指针和数组越界不保护是缓冲区溢出的根源,而且,在C语言标准库中就有许多能提供溢出的函数,如strcat() 计算机所有的事物都有长度限制,但编程者往往忽略长度 通过指针填充数据,将数据变成执行代码 溢出类型 栈溢出 堆溢出 栈溢出(stack overflow) #include stdio.h #include string.h char shellcode[] = \xeb\x1f\x……; char large_string[128]; int main(int argc, char **argv){ char buffer[96]; int i; long *long_ptr = (long *) large_string; for (i = 0; i 32; i++) *(long_ptr + i) = (int) buffer; for (i = 0; i (int) strlen(shellcode); i++) large_string[i] = shellcode[i]; strcpy(buffer, large_string)

文档评论(0)

阿里山的姑娘 + 关注
实名认证
内容提供者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档