[软件调试学习笔记]防止栈缓冲区溢出的基于Cookie的安全检查机制

本文主要是介绍[软件调试学习笔记]防止栈缓冲区溢出的基于Cookie的安全检查机制,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

[软件调试学习笔记]防止栈缓冲区溢出的基于Cookie的安全检查机制

Buffer Overrun定义

buffer是程序用来存储数据的连续内存区域,一旦分配完成,其起始地址和大小便固定下来。程序运行过程中,如果使用了超出buffer的区域,那么就发生了buffer overflow(缓冲区溢出)或者buffer overrun(缓冲区越界)。如果该缓冲区分配在stack上,就称之为stack buffer overrun;如果分配在heap,就称为heap overflow。

stack buffer overrun会冲毁thread自身及其父线程的栈信息,我们知道在当前stack frame中,EBP+4为函数返回地址,EBP+8为最后一个参数,EBP+C:倒数第二个参数...。如果EBP+4处的内容被写入一个非法地址,那么函数调用退出的时候就会跳转到一个非法地址,转而执行非法程序。这就是利用stack buffer overrun进行恶意攻击的基本原理。

在vc6.0中,如果程序为debug 版本,by default会启用stack buffer overrun的检测。而在release版本中,则关闭了对其的检测。而在vc8以上版本编译其中,则采用了基于Cookie的stack buffer安全检查机制。

防止Buffer overrun的措施

本文将介绍在VS8及以上版本编译器中采用Cookie机制来防止stack overrun的方法。

首先简要介绍在Debug版本下的stack orverrun(VC8及以上)的检测机制:

1.VC8在紧邻栈指针的位置分配4个字节用于存放安全Cookie。安全Cookie就像一个安全护栏,用于保护其下的栈指针和函数返回地址,他位于局部变量和重要的栈帧信息(栈帧指针及函数返回地址)。这样,如果Cookie之上的局部变量发生溢出,在漫延到栈帧信息前会覆盖Cookie,因此检查Cookie的完整性便可以探测到可能危及栈信息的溢出情况。

2.在给每个局部变量分配空间时,除了补齐内存空间所需的零头部分,编译器还会给每个变量多分配8个字节,分别放置于变量的前后各4个字节,并将其初始化为0xcccccccc。这样,每个变量相当于有了前后2个屏障。一旦这2道屏障受损,则会产生中断(正是cc编码)。

基于Cookie的Stack Buffer安全检测

但是以上开销较大,通常只用于调试版本。为了在release version中也能检测出stack buffer overrun,防止程序因此而受到攻击,VS2005及以上支持了基于Cookie的安全检查机制。

基于Cookie的安全检查机制原理如下:

1.编译器在编译可能发生stack buffer orverrun的函数时,会定义一个特别的局部变量,该局部变量被分配在栈帧中所有其他局部变量和栈帧与函数返回之间,这个变量专门用来保存Cookie,我们将其称为Cookie变量。Cookie变量是一个32位的整数,他的值从全局变量_security_cookie中得到。(该全局变量是定义在C运行库中,我们可以看到默认安装路径下的源代码:c:\program...\visu..8\VC\crt\src\gs_cookie.c可以看到其定义:

#define DEFAULT_SECURITY_COOKIE 0xBB40E64E

DECLSPEC_SELECTRANY UINT_PRT _security_cookie=DEFAULT_SECURITY_COOKIE;

......

(可见_security_cookie变量赋了默认值)。在VC8编译器启动的启动函数中(如WinMainCRTStartup)还会调用_security_init_cookie函数对该变量进行正式的初始化。在crt0.c中,可以看到启动函数的源码如下:

int _tmainCRTStartup(void)

{

_security_init_cookie();//初始化cookie

......

}

因为是在启动函数中初始化全局变量_security_cookie,所以在该process以后的运行过程中,Cookie值是保持不变的。

编译器在为一个函数插入安全Cookie时,他还会与当时的EBP做一次xor,然后将其保存到Cookie变量中,这些指令通常出现在函数的序言(prolog)之后,其典型过程如下:

push ebp

mov ebp,esp

sub esp,0x18//为局部变量分配栈空间

mov eax,[applica!_security_Cookie];//将_security_cookie存入eax

xor eax,ebp;//与ebp xor

mov [ebp-0x4],eax;//存入cookie变量

......

与EBP xor的两个好处:

1. 提高安全cookie的随机性,尽可能使每个函数的_security_cookie都不同。

2.检查EBP值是否被破坏。因为在检查Cookie变量时,会再与EBP再进行一次xor,如果EBP没有发生变化,那么两次xor后Cookie变量的值就应该成全局安全变量_security_cookie的值。

其典型的代码如下:

mov ecx, [ebp-0x4];

pop edi;

xor ecx,ebp;//再xor 一次

pop esi;

call applica!_security_check_cookie(0x***);//开始检查_security_cookie

mov esp,ebp

pop ebp

ret;

而_security_check_cookie是一个只含有4条汇编代码的函数,在crt\intel\secchk.c 中对函数定义如下:

void _security_check_cookie(UINT _PTR cookie)

{

_asm

{

cmp ecx,_security_cookie;

jne failure;

rep ret;

failure:

jmp _report_gsfailure;

}

}

2.安全检查失败处理

因为stack buffer overrun可能覆盖掉函数的本来返回地址,使函数返回到未知的地方,从而使程序出现不可预期的后果。因此这种exception被看作是fatal error,一旦遇到这种错误,程序就会马上终止。但为了debug,在terminate process之前,_report_gsfailure函数会记录下错误发生时的重要信息,并提供JIT调试机会。

[本文摘录于《软件调试》张银奎]

备注:
实际研究发现,当函数中有字符串拷贝处理的时候才会有cookie检查,普通的函数没有这样的检查。

这篇关于[软件调试学习笔记]防止栈缓冲区溢出的基于Cookie的安全检查机制的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/704844

相关文章

Java学习手册之Filter和Listener使用方法

《Java学习手册之Filter和Listener使用方法》:本文主要介绍Java学习手册之Filter和Listener使用方法的相关资料,Filter是一种拦截器,可以在请求到达Servl... 目录一、Filter(过滤器)1. Filter 的工作原理2. Filter 的配置与使用二、Listen

Spring Boot中JSON数值溢出问题从报错到优雅解决办法

《SpringBoot中JSON数值溢出问题从报错到优雅解决办法》:本文主要介绍SpringBoot中JSON数值溢出问题从报错到优雅的解决办法,通过修改字段类型为Long、添加全局异常处理和... 目录一、问题背景:为什么我的接口突然报错了?二、为什么会发生这个错误?1. Java 数据类型的“容量”限制

利用Python调试串口的示例代码

《利用Python调试串口的示例代码》在嵌入式开发、物联网设备调试过程中,串口通信是最基础的调试手段本文将带你用Python+ttkbootstrap打造一款高颜值、多功能的串口调试助手,需要的可以了... 目录概述:为什么需要专业的串口调试工具项目架构设计1.1 技术栈选型1.2 关键类说明1.3 线程模

C++如何通过Qt反射机制实现数据类序列化

《C++如何通过Qt反射机制实现数据类序列化》在C++工程中经常需要使用数据类,并对数据类进行存储、打印、调试等操作,所以本文就来聊聊C++如何通过Qt反射机制实现数据类序列化吧... 目录设计预期设计思路代码实现使用方法在 C++ 工程中经常需要使用数据类,并对数据类进行存储、打印、调试等操作。由于数据类

SpringRetry重试机制之@Retryable注解与重试策略详解

《SpringRetry重试机制之@Retryable注解与重试策略详解》本文将详细介绍SpringRetry的重试机制,特别是@Retryable注解的使用及各种重试策略的配置,帮助开发者构建更加健... 目录引言一、SpringRetry基础知识二、启用SpringRetry三、@Retryable注解

SpringKafka错误处理(重试机制与死信队列)

《SpringKafka错误处理(重试机制与死信队列)》SpringKafka提供了全面的错误处理机制,通过灵活的重试策略和死信队列处理,下面就来介绍一下,具有一定的参考价值,感兴趣的可以了解一下... 目录引言一、Spring Kafka错误处理基础二、配置重试机制三、死信队列实现四、特定异常的处理策略五

Pyserial设置缓冲区大小失败的问题解决

《Pyserial设置缓冲区大小失败的问题解决》本文主要介绍了Pyserial设置缓冲区大小失败的问题解决,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面... 目录问题描述原因分析解决方案问题描述使用set_buffer_size()设置缓冲区大小后,buf

利用Python快速搭建Markdown笔记发布系统

《利用Python快速搭建Markdown笔记发布系统》这篇文章主要为大家详细介绍了使用Python生态的成熟工具,在30分钟内搭建一个支持Markdown渲染、分类标签、全文搜索的私有化知识发布系统... 目录引言:为什么要自建知识博客一、技术选型:极简主义开发栈二、系统架构设计三、核心代码实现(分步解析

使用Python自建轻量级的HTTP调试工具

《使用Python自建轻量级的HTTP调试工具》这篇文章主要为大家详细介绍了如何使用Python自建一个轻量级的HTTP调试工具,文中的示例代码讲解详细,感兴趣的小伙伴可以参考一下... 目录一、为什么需要自建工具二、核心功能设计三、技术选型四、分步实现五、进阶优化技巧六、使用示例七、性能对比八、扩展方向建

java中反射(Reflection)机制举例详解

《java中反射(Reflection)机制举例详解》Java中的反射机制是指Java程序在运行期间可以获取到一个对象的全部信息,:本文主要介绍java中反射(Reflection)机制的相关资料... 目录一、什么是反射?二、反射的用途三、获取Class对象四、Class类型的对象使用场景1五、Class