11缓冲攻击幻灯片.pptVIP

缓冲区溢出技术 缓冲区溢出攻击与防御 概要( Buffer Overflow ) 缓冲区溢出攻击分析(BOFA) BOFA的检测与防御 概念 缓冲区溢出指的是一种系统攻击的手段，通过向程序的缓冲区写超出其长度的内容，造成缓冲区的溢出，从而破坏程序的堆栈，使程序转而执行其它指令，以达到攻击的目的。 原因 造成缓冲区溢出的原因是程序中没有仔细检查用户输入的参数。缓冲区溢出就是将一个超过缓冲区长度的字符串置入缓冲区的结果． 程序中没有仔细检查用户输入的参数。例： #include stdio.h int main(){ char name[8]; printf(“Your Name:”); gets(name); printf(“Hello,%s!”,name); return 0; } //当输入字符超过8个时，溢出 后果 向一个有限空间的缓冲区中置入过长的字符串可能会带来两种后果 一是过长的字符串覆盖了相邻的存储单元，引起程序运行失败，严重的可导致系统崩溃； 另一种后果是利用这种漏洞可以执行任意指令，甚至可以取得系统特权，由此而引发了许多种攻击方法。 缓冲区溢出攻击与防御 概要 缓冲区溢出攻击分析(BOFA) BOFA的检测与防御 回顾C语言 能改变内存地址内容的语句主要有两类 1)*A＝B；／*指针型语句*／ 2)A[i]＝B；／*数组型语句*／ 其中，A，B均为变量，*A为指针，A[ ]为数组，i为数组 此两种语句分别对应了两种攻击方法。 一：指针型攻击方法 在第1类语句(指针型语句)中，由于A所指向的内存地址取得B的值，因而攻击者能利用该声明来改变函数的返回地址。由此可构成第一种攻击方法，又可称为指针型攻击方法。 取得成功必须具备下列条件 1.一个循环语句，用于将用户输人数据复制到一个缓冲区数组，而且不能检查数据量，同时数组必须紧靠变量A 2.一个循环语句，用于将用户输人数据复制到一个缓冲区数组，而且不能检查数据量，同时数组必须紧靠变量B 3. (1)、(2)必须在*A＝B执行之前，且(1)、(2)执行后，不能再改变A、B的值。 攻击实施过程 在*A＝B执行之前，通过(1)、(2)改变A、B的值，当语句*A＝B执行时，变量A的新值所指向的地址*A将取得变量B的新值(即用户输入的数据)。 利用这种方法，攻击者可以改变任何内存地址的内容，包括返回地址。 二：数组型攻击方法 在第二类语句(数组型语句)中，数组A[ ]中的第i个元素A[i]取得B的值。 必须满足的条件 (1)一个循环声明，用于将用户输人数据复制到一个缓冲区数组，而且不能检查数据量，同时数组必须紧靠变量B (2)一个循环声明，用于将用户输人数据复制到数组A，而且不能检查A的上界，每次循环后i的值加1，同时数组A必须紧靠一个返回地址 实施过程一 通过(1)改变B的值，然后通过(2)将B的新值循环输人数组A，直到返回地址也被该新值覆盖。这种攻击中，不仅返回地址被改变，而且介于数组A与返回地址之间的所有内存区域也全被改写。这种方法在缓冲区溢出攻击中使用得最多。 实施过程二 与指针型语句中的攻击方法类似。假设A[k]存有函数的返回地址。如果我们用第一种攻击方法使A[k]溢出，就可将返回地址的值改写成任何需要的值。 堆栈 从物理上讲，堆栈是就是一段连续分配的内存空间 静态全局变量是位于数据段并且在程序开始运行的时候被加载 动态的局部变量 则分配在堆栈里面 从操作上来讲，堆栈是一个先入后出的队列，其生长方向与内存的生长方向正好相反 我们规定内存的生长方向为向上，则栈的生长方向为向下 压栈的操作push＝ESP-4 出栈的操作是pop=ESP+4 堆栈结构 堆栈是向下生长 内存向上生长 在一次函数调用中，堆栈中将被依次压入： 　参数，返回地址，EBP 如果函数有局部变量，接下来，就在堆栈中开辟相应的空间以构造变量 函数执行结束，这些局部变量的内容将 被丢失。但是不被清除 在函数返回的时候，弹出EBP，恢复堆栈到函数调用的地址，弹出返回地址到EIP以继续执行程序 在C语言程序中，参数的压栈顺序是反向的：比如func（a,b,c)。在参数入栈的时候，是先压c，再压b，最后压a 在取参数的时候，由于栈的先入后出，先取栈顶的a，再取b，最后取c 运行时的堆栈分配 看一段小程序 #include stdio.h ?int main ( ) ?{ ? ???????char name[8]; ? ???????printf(Please type your name: ); ????????gets(name); ? ???????printf(Hello, s!, name)