网络安全教程 教学课件 田园 第3章 网络病毒的典型入侵机制.pptVIP

第3章 网络病毒的典型入侵机制 ;3.1 栈溢出攻击 ; #define MAX_BUFFER_SIZE 256 void routine(char* p) /*p[]是来自外部的字符串*/ { int x,y,u,v; char buffer[MAX_BUFFER_SIZE]; /*将输入字符串填入buffer:*/ strcpy(buffer, p); …… …… return; } ; strcpy(buffer, p)将数组p[]的内容逐字节复制到数组buffer[]，但没有检查p[]的实际长度是否超过buffer[]的容量，即MAX_BUFFER_SIZE！ 设想运行期间p[]承载的是来自外部的网络消息，而且该消息（有意或无意）确实超过了上界MAX_BUFFER_SIZE，这将导致数组buffer的溢出。 ;图3-1 栈溢出攻击;图3-1 栈溢出攻击（续）;3.2 单字节栈溢出攻击 ; for循环在计算数组上界时错误地多计算了一个字节，结果在运行期间可能实际向栈帧写入257个字节，即溢出一个字节。 仔细观察图3-3（a）中“父栈帧”地址项的位置和含义，不难发现一条间接的攻击途径。 为解释这一攻击，需要先解释一下，“Little-Endian”机器和“Big-Endian”机器的区别。;如图3-2所示，详细描述了单字节溢出攻击。 ;图3-3 Little-Endian机器上的单字节溢出攻击; 细心的读者会注意到，成功实施这一攻击的关键在于能够成功伪造出父函数的栈帧。 父函数的栈帧记录的是父函数在调用函数routine之前的临时状态，routine返回后其父函数需要从这一瞬间状态继续向后执行。 如果父栈帧伪造不当导致父函数执行发生错误，不能正常结束而返回，则攻击者将达不到执行病毒代码的目的。 ;3.3 堆溢出攻击 ;#define MAX_BUFFER_SIZE 256 int main(int argc, char** argv){ { int i=0, ch; FILE *f; static char buffer[MAX_BUFFER_SIZE]; static char* szFilename = c:\\procfile.txt; ch = getchar(); while(ch!=EOF){ /*可能导致buffer[]溢出 */ buffer[i] = ch; ch = getchar(); i++; } f = fopen(szFilename, w+b); fputs(buffer, f); …… fclose(f); }; 以上程序中的变量buffer []和szFilename在进程空间中的布局如图3-4（a）所示。根据程序，buffer[]由来自程序输入流的字节顺序填充，如果攻击者炮制的输入流超长而且恰好改写了紧邻buffer[]的堆变量szFilename，这意味着该程序将打开一个攻击者指定的文件进行I/O操作。 如果这是一个特权进程，攻击者将有机会存取操作一个本来没有权限存取的敏感文件。 利用堆溢出攻击还有可能篡改进程空间中的函数地址以改变进程流程。 看下面的C语言程序。;#define MAX_BUFFER_SIZE 256 int CallBack(const char* szTemp){ …… } int main(int argc, char** argv){ { static char buffer[MAX_BUFFER_SIZE]; static int (*funcptr)(const char*); /*函数指针*/ funcptr = (int(*)(const char*))CallBack; strcpy(buffer, argv[1]); /*Size unchecked!*/ (int)(*funcptr)(argv[2]); …… };图3-4 堆溢出攻击的例子：篡改变量值; 以上程序没有检查argv[1]是否超出长度，从而使攻击者有可能通过溢出来篡改函数指针funcptr的值，结果将以argv[2]（注意该参数也来自攻击者！）为参数，执行的不再是预期的函数Ca