转自:http://blog.csdn.net/galihoo/article/details/2299151
目前,缓冲区溢出应该是攻击的最直接的方式,因此如何检测缓冲区溢出以及保护刻不容缓
按照shellcode存放的位置,可以将缓冲区溢出分为 堆溢出 和堆栈溢出, 目前的缓冲区溢出检测保护的对象都是这两位仁兄, 据我了解,目前缓冲区溢出检测保护方法有下面几种:
1. 编译级别的检测保护
(1) 比如vc7以上的 /GZ 选项,就是在堆栈中加入一个cookie,当函数返回的时候检测该cookie值是否被改变,如果改变说明发生了溢出,然后引发一个异常
unix下可以下载gcc的补丁,也是类似效果
(2) c数组边界检查, 这种方法效率太低,不适用
还有其他的方法,我不理解,所以就不谈了
2.系统/硬件级别的检测保护
比如windwos的 数据执行保护, 将堆和堆栈设置为不可执行,一旦检测到代码在这些地方执行,那么立刻引发一个异常, 不过绕过的方法也有哦
个人觉得这个才是安全产品应该研究的,因为这个不依赖于开发环境,以及系统的支持
然而目前的方法还是挂钩关键函数 LoadLibraryA或者GetProcAddr甚至是CreateProcessA这样函数,然后查看其返回地址,如果地址在堆栈中,就可以判定是溢出发生了,
对于动态检测的一些想法
(1) 在内核接管call和ret,不知道能不能实现,如果能接管,那么为线程创建一个"返回地址堆栈",当call发生时,将返回地址压在"返回地址堆栈"中,当ret时再进行对比,看看是否发生了溢出,可能操作比较麻烦
(2)同样也挂接关键函数,然后使用堆栈回溯技术来继续分析函数调用的位置,这样是否会通用一点呢?
还有一些问题:
1. 如何在windows下得到堆的信息呢?如何判断一个地址是否堆中的呢?单单判断是MEM_PRIVATE不行啊,peb,teb,这些都是吧
2. 是不是 有些加壳软件在安装了KABA7的机子上运行就报错 就是 缓冲区溢出检测导致的?
3. 关于堆栈回溯技术的问题,堆栈回溯技术主要基于ebp,如果ebp被破坏或者是函数被优化不能通过ebp回溯时,还有什么方法可以继续推测之前的call呢?难道要一一搜索堆栈?