资源描述:
《Buffer Overflow 机理剖析(一)》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、使用BufferOverflow方法来入侵目的主机是黑客们经常采用的一种手段,本文将几篇介绍其机理的文章作了一些加工整理,对它的机理作出了由浅入深的剖析. 本文分为下面几个部分,朋友们可以按照自己的兴趣选择不同的章节: 1.关于堆栈的基础知识 2.BufferOverflow的原理 3.ShellCode的编写 4.实际运用中遇到的问题 5.附录I若干操作系统/平台上的ShellCode 6.附录II通用BufferOverflow攻击程序------------------------
2、-------------------------------------------------------- 1.关于堆栈的基础知识 一个应用程序在运行时,它在内存中的映像可以分为三个部分:代码段,数据段和堆栈段(参见下图).代码段对应与运行文件中的TextSection,其中包括运行代码和只读数据,这个段在内存中一般被标记为只读,任何企图修改这个段中数据的指令将引发一个SegmentationViolation错误. 数据段对应与运行文件中的DataSection和BSSSection,其
3、中存放的是各种数据(经过初始化的和未经初始化的)和静态变量. 下面我们将详细介绍一下堆栈段.|--------| 虚存低端| || 代码段 || ||--------|| || 数据段 || ||--------|| || 堆栈段 || ||--------| 虚存高端 堆栈是什么? 如果你学过<<数据结构>>这门课的话,就会知道堆栈是一种计算机中经常用到的抽象数据类型.作用于堆栈上的操作主要有
4、两个:Push和Pop,既压入和弹出.堆栈的特点是LIFO(Lastin,Firstout),既最后压入堆栈的对象最先被弹出堆栈. 堆栈段的作用是什么? 现在大部分程序员都是在用高级语言进行模块化编程,在这些应用程序中,不可避免地会出现各种函数调用,比如调用C运行库,Win32API等等.这些调用大部分都被编译器编译为Call语句.当CPU在执行这条指令时,除了将IP变为调用函数的入口点以外,还要将调用后的返回地址放入堆栈.这些函数调用往往还带有不同数量的入口参数和局部变量,在这种情况下,编译器往
5、往会生成一些指令将这些数据也存入堆栈(有些也可通过寄存器传递). 我们将一个函数调用在堆栈中存放的这些数据和返回地址称为一个栈帧(StackFrame). 栈帧的结构: 下面我们通过一个简单的例子来分析一下栈帧的结构.voidproc(inti){ intlocal; local=i;}voidmain(){ proc(1);} 这段代码经过编译器后编译为:(以PC为例)main:push 1 call proc ...proc:push ebp mov ebp,esp sub
6、 esp,4 mov eax,[ebp+08] mov [ebp-4],eax add esp,4 pop ebp ret 4 下面我们分析一下这段代码.main:push1 callproc 首先,将调用要用到的参数1压入堆栈,然后callprocproc:pushebp movebp,esp 我们知道esp指向堆栈的顶端,在函数调用时,各个参数和局部变量在堆栈中的位置只和esp有关系,如可通过[esp+4]存取参数1.但随着程序的运行,堆栈中放入了新的数据,esp
7、也随之变化,这时就不能在通过[esp+4]来存取1了.因此,为了便于参数和变量的存取,编译器又引入了一个基址寄存器ebp,首先将ebp的原值存入堆栈,然后将esp的值赋给ebp,这样以后就可以一直使用[ebp+8]来存取参数1了. subesp,4 将esp减4,留出一个int的位置给局部变量local使用,local可通过[ebp-4]来存取 mov eax,[ebp+08] mov[ebp-4],eax就是local=i; addesp,4 popebp ret4 首先
8、esp加4,收回局部变量的空间,然后popebp,恢复ebp原值,最后ret4,从堆栈中取得返回地址,将EIP改为这个地址,并且将esp加4,收回参数所占的空间.不难看出,这个程序在执行proc过程时,栈帧的结构如下: 4 4 4 4[local] [ebp] [ret地址] [参数1] 内存高端
9、
10、esp(栈顶)ebp因此,我们可以总结出一般栈帧的结构:..[local1][local2]..[localn][ebp][ret
