[软件调试学习笔记]防止栈缓冲区溢出的基于Cookie的安全检查机制

本文主要是介绍[软件调试学习笔记]防止栈缓冲区溢出的基于Cookie的安全检查机制,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

[软件调试学习笔记]防止栈缓冲区溢出的基于Cookie的安全检查机制

Buffer Overrun定义

buffer是程序用来存储数据的连续内存区域,一旦分配完成,其起始地址和大小便固定下来。程序运行过程中,如果使用了超出buffer的区域,那么就发生了buffer overflow(缓冲区溢出)或者buffer overrun(缓冲区越界)。如果该缓冲区分配在stack上,就称之为stack buffer overrun;如果分配在heap,就称为heap overflow。

stack buffer overrun会冲毁thread自身及其父线程的栈信息,我们知道在当前stack frame中,EBP+4为函数返回地址,EBP+8为最后一个参数,EBP+C:倒数第二个参数...。如果EBP+4处的内容被写入一个非法地址,那么函数调用退出的时候就会跳转到一个非法地址,转而执行非法程序。这就是利用stack buffer overrun进行恶意攻击的基本原理。

在vc6.0中,如果程序为debug 版本,by default会启用stack buffer overrun的检测。而在release版本中,则关闭了对其的检测。而在vc8以上版本编译其中,则采用了基于Cookie的stack buffer安全检查机制。

防止Buffer overrun的措施

本文将介绍在VS8及以上版本编译器中采用Cookie机制来防止stack overrun的方法。

首先简要介绍在Debug版本下的stack orverrun(VC8及以上)的检测机制:

1.VC8在紧邻栈指针的位置分配4个字节用于存放安全Cookie。安全Cookie就像一个安全护栏,用于保护其下的栈指针和函数返回地址,他位于局部变量和重要的栈帧信息(栈帧指针及函数返回地址)。这样,如果Cookie之上的局部变量发生溢出,在漫延到栈帧信息前会覆盖Cookie,因此检查Cookie的完整性便可以探测到可能危及栈信息的溢出情况。

2.在给每个局部变量分配空间时,除了补齐内存空间所需的零头部分,编译器还会给每个变量多分配8个字节,分别放置于变量的前后各4个字节,并将其初始化为0xcccccccc。这样,每个变量相当于有了前后2个屏障。一旦这2道屏障受损,则会产生中断(正是cc编码)。

基于Cookie的Stack Buffer安全检测

但是以上开销较大,通常只用于调试版本。为了在release version中也能检测出stack buffer overrun,防止程序因此而受到攻击,VS2005及以上支持了基于Cookie的安全检查机制。

基于Cookie的安全检查机制原理如下:

1.编译器在编译可能发生stack buffer orverrun的函数时,会定义一个特别的局部变量,该局部变量被分配在栈帧中所有其他局部变量和栈帧与函数返回之间,这个变量专门用来保存Cookie,我们将其称为Cookie变量。Cookie变量是一个32位的整数,他的值从全局变量_security_cookie中得到。(该全局变量是定义在C运行库中,我们可以看到默认安装路径下的源代码:c:\program...\visu..8\VC\crt\src\gs_cookie.c可以看到其定义:

#define DEFAULT_SECURITY_COOKIE 0xBB40E64E

DECLSPEC_SELECTRANY UINT_PRT _security_cookie=DEFAULT_SECURITY_COOKIE;

......

(可见_security_cookie变量赋了默认值)。在VC8编译器启动的启动函数中(如WinMainCRTStartup)还会调用_security_init_cookie函数对该变量进行正式的初始化。在crt0.c中,可以看到启动函数的源码如下:

int _tmainCRTStartup(void)

{

_security_init_cookie();//初始化cookie

......

}

因为是在启动函数中初始化全局变量_security_cookie,所以在该process以后的运行过程中,Cookie值是保持不变的。

编译器在为一个函数插入安全Cookie时,他还会与当时的EBP做一次xor,然后将其保存到Cookie变量中,这些指令通常出现在函数的序言(prolog)之后,其典型过程如下:

push ebp

mov ebp,esp

sub esp,0x18//为局部变量分配栈空间

mov eax,[applica!_security_Cookie];//将_security_cookie存入eax

xor eax,ebp;//与ebp xor

mov [ebp-0x4],eax;//存入cookie变量

......

与EBP xor的两个好处:

1. 提高安全cookie的随机性,尽可能使每个函数的_security_cookie都不同。

2.检查EBP值是否被破坏。因为在检查Cookie变量时,会再与EBP再进行一次xor,如果EBP没有发生变化,那么两次xor后Cookie变量的值就应该成全局安全变量_security_cookie的值。

其典型的代码如下:

mov ecx, [ebp-0x4];

pop edi;

xor ecx,ebp;//再xor 一次

pop esi;

call applica!_security_check_cookie(0x***);//开始检查_security_cookie

mov esp,ebp

pop ebp

ret;

而_security_check_cookie是一个只含有4条汇编代码的函数,在crt\intel\secchk.c 中对函数定义如下:

void _security_check_cookie(UINT _PTR cookie)

{

_asm

{

cmp ecx,_security_cookie;

jne failure;

rep ret;

failure:

jmp _report_gsfailure;

}

}

2.安全检查失败处理

因为stack buffer overrun可能覆盖掉函数的本来返回地址,使函数返回到未知的地方,从而使程序出现不可预期的后果。因此这种exception被看作是fatal error,一旦遇到这种错误,程序就会马上终止。但为了debug,在terminate process之前,_report_gsfailure函数会记录下错误发生时的重要信息,并提供JIT调试机会。

[本文摘录于《软件调试》张银奎]

备注:
实际研究发现,当函数中有字符串拷贝处理的时候才会有cookie检查,普通的函数没有这样的检查。

这篇关于[软件调试学习笔记]防止栈缓冲区溢出的基于Cookie的安全检查机制的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/704844

相关文章

java中反射(Reflection)机制举例详解

《java中反射(Reflection)机制举例详解》Java中的反射机制是指Java程序在运行期间可以获取到一个对象的全部信息,:本文主要介绍java中反射(Reflection)机制的相关资料... 目录一、什么是反射?二、反射的用途三、获取Class对象四、Class类型的对象使用场景1五、Class

Python循环缓冲区的应用详解

《Python循环缓冲区的应用详解》循环缓冲区是一个线性缓冲区,逻辑上被视为一个循环的结构,本文主要为大家介绍了Python中循环缓冲区的相关应用,有兴趣的小伙伴可以了解一下... 目录什么是循环缓冲区循环缓冲区的结构python中的循环缓冲区实现运行循环缓冲区循环缓冲区的优势应用案例Python中的实现库

Linux中的缓冲区和文件系统详解

《Linux中的缓冲区和文件系统详解》:本文主要介绍Linux中的缓冲区和文件系统方式,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录一、FILE结构1、fd2、缓冲区二、文件系统1、固态硬盘2、逻辑地址LBA(一)数据块 Data blocks(二)inode表

Java进阶学习之如何开启远程调式

《Java进阶学习之如何开启远程调式》Java开发中的远程调试是一项至关重要的技能,特别是在处理生产环境的问题或者协作开发时,:本文主要介绍Java进阶学习之如何开启远程调式的相关资料,需要的朋友... 目录概述Java远程调试的开启与底层原理开启Java远程调试底层原理JVM参数总结&nbsMbKKXJx

如何关闭 Mac 触发角功能或设置修饰键? mac电脑防止误触设置技巧

《如何关闭Mac触发角功能或设置修饰键?mac电脑防止误触设置技巧》从Windows换到iOS大半年来,触发角是我觉得值得吹爆的MacBook效率神器,成为一大说服理由,下面我们就来看看mac电... MAC 的「触发角」功能虽然提高了效率,但过于灵敏也让不少用户感到头疼。特别是在关键时刻,一不小心就可能触

前端bug调试的方法技巧及常见错误

《前端bug调试的方法技巧及常见错误》:本文主要介绍编程中常见的报错和Bug,以及调试的重要性,调试的基本流程是通过缩小范围来定位问题,并给出了推测法、删除代码法、console调试和debugg... 目录调试基本流程调试方法排查bug的两大技巧如何看控制台报错前端常见错误取值调用报错资源引入错误解析错误

Nginx之upstream被动式重试机制的实现

《Nginx之upstream被动式重试机制的实现》本文主要介绍了Nginx之upstream被动式重试机制的实现,可以通过proxy_next_upstream来自定义配置,具有一定的参考价值,感兴... 目录默认错误选择定义错误指令配置proxy_next_upstreamproxy_next_upst

Java深度学习库DJL实现Python的NumPy方式

《Java深度学习库DJL实现Python的NumPy方式》本文介绍了DJL库的背景和基本功能,包括NDArray的创建、数学运算、数据获取和设置等,同时,还展示了如何使用NDArray进行数据预处理... 目录1 NDArray 的背景介绍1.1 架构2 JavaDJL使用2.1 安装DJL2.2 基本操

Spring排序机制之接口与注解的使用方法

《Spring排序机制之接口与注解的使用方法》本文介绍了Spring中多种排序机制,包括Ordered接口、PriorityOrdered接口、@Order注解和@Priority注解,提供了详细示例... 目录一、Spring 排序的需求场景二、Spring 中的排序机制1、Ordered 接口2、Pri

MySQL 缓存机制与架构解析(最新推荐)

《MySQL缓存机制与架构解析(最新推荐)》本文详细介绍了MySQL的缓存机制和整体架构,包括一级缓存(InnoDBBufferPool)和二级缓存(QueryCache),文章还探讨了SQL... 目录一、mysql缓存机制概述二、MySQL整体架构三、SQL查询执行全流程四、MySQL 8.0为何移除查