缓冲区溢出 面试题

1. 引言； 随着网络安全技术的飞速发展，缓冲区溢出漏洞已经成为当前最具安全威胁的漏洞之一，缓冲区溢出攻击也成为一种非常有效而常见的攻击方法。如Internet上的第1例蠕虫(Morris)攻击，就是利用了fingerd的缓冲区溢出漏洞。SANS评选出的2005年威胁最大的20个漏洞中，有8个跟缓冲区溢出有关。根据CNCERT最近几周的计算机安全漏洞的统计数据，与缓冲区溢出有关的安全事件占了很大的比例。这些都充分说明了研究缓冲区溢出的重要性。本文主要介绍了windows下的缓冲区溢出的相关知识。 

2. 漏洞原因和原理； 2.1 产生原因； 当向一个已分配了确定存储空间的缓冲区内复制多于该缓冲区处理能力的数据时，就会发生缓冲区溢出，溢出包括堆溢出和堆栈溢出。它与程序在内存中的分布有关，而它产生的直接原因是由于C/C++程序中的一些函数调用时，没有进行边界检查，如C函数库中的strcpy()，strcat()，sprintf()，gets()等都是不安全的。 由上面的分析可知要产生缓冲区溢出,需要有几个条件:  1) 程序编译时在堆栈上分配了固定大小的缓冲区,并且在对缓冲区进行访问时没有提供边界检查。这条在C/C ++语言中就满足,而对于有边界检查的语言,如Pascal 等,就没有这样的溢出问题。 2) 程序调用了没有进行边界检查的函数来访问(写操作) 缓冲区,这些函数没有对访问的缓冲区的大小进行判断。由于在C语言中,字符串以0字节来标识结尾,其中没有字符串的长度信息,所以几个没有判断字符串长度的字符串拷贝函数就是容易出现问题的函数。这些函数有: strcat()、strcpy()、sprintf()等。 3) 即使程序使用了上面所说的问题函数也不一定会出现溢出漏洞,漏洞发生的最后一个条件是程序员由于粗心,未检查用户输入数据的长度就将其直接复制到缓冲区中去。虽然这看起来是一件小事,很容易杜绝。可惜的是正因为有大量粗心的程序员的存在,使得溢出漏洞变得非常的普

程序的堆栈是先进后出的一种数据结构，堆栈的生长方向适合内存相反的（如图1）。当调用一个函数时，首先是函数的参数逆序进栈，然后将eip里面的内容进栈作为函数的返回地址(ret)，即函数调用结束后程序跳转的地址，接着保存现在程序的栈基指针(ebp)，并将当前栈顶指针(esp)拷入ebp作为新的基地址．最后将esp减去一定数值用来为本地变量留出一定空间。缓存区往往就分配在这段空间中。 程序的堆栈是先进后出的一种数据结构，堆栈的生长方向适合内存相反的（如图1）。当调用一个函数时，首先是函数的参数逆序进栈，然后将eip里面的内容进栈作为函数的返回地址(ret)，即函数调用结束后程序跳转的地址，接着保存现在程序的栈基指针(ebp)，并将当前栈顶指针(esp)拷入ebp作为新的基地址．最后将esp减去一定数值用来为本地变量留出一定空间。缓存区往往就分配在这段空间中。 由于堆栈是由内存高地址向内存低地址方向增长，而数组的变量是从内存低地址向高地址方向增长，这时如果没有对数组的越界进行检查和限制，通过向程序的数组缓冲区写入超出其长度的内容，覆盖堆栈原来的返回地址（ret），就会造成缓冲区溢出，从而破坏程序的堆栈。如果构造特殊的注入向量覆盖ret值使程序转而执行恶意代码(shellcode)，就达到攻击的目的