[讨论]关于缓冲区溢出的检测

目前,缓冲区溢出应该是攻击的最直接的方式,因此如何检测缓冲区溢出以及保护刻不容缓 ,然而当前并没有很稳定可靠的方法来对缓冲区溢出进行检测,MACFEE应该是提出缓冲区溢出保护的最早的安全厂商,然而如今也不再对该技术进行大肆宣传了,这几天在网上翻了一下,感觉Comodo公司对缓冲区溢出的检测做的比较好,然后我也看不懂他采用的什么技术,如果哪位牛人来介绍一下他采用的技术就好了.后来又看了gyzy的文章"基于栈指纹检测缓冲区溢出的一点思路"以及czy对其的点评,可以看出,这两位牛人对漏洞的分析利用都有着非凡的经验,然而从文章中也看的出按照这样的技术思路还不能应对很多缓冲区溢出, 首先就是基于这样的返回地址检测本身的不稳定,kaba也只是把他作为特征码扫描的一个补充,如果单单这样的话,绕过的方法肯定不只是 修改teb和push ret+jmp这两种方法, 其次就是对于堆溢出的检测,目前很多堆溢出漏洞通过大面积的喷射然后跳转都能够稳定的利用,特别是与IE相关的堆溢出. 牛人们对于缓冲区溢出的检测尚且如此,我就更不说了,但是我还是把这几天的想法总结一下,希望对自己以及研究的溢出检测的朋友有帮助:
按照shellcode存放的位置,可以将缓冲区溢出分为 堆溢出 和堆栈溢出, 目前的缓冲区溢出检测保护的对象都是这两位仁兄, 据我了解,目前缓冲区溢出检测保护方法有下面几种:

1. 编译级别的检测保护
(1) 比如vc7以上的 /GZ 选项,就是在堆栈中加入一个cookie,当函数返回的时候检测该cookie值是否被改变,如果改变说明发生了溢出,然后引发一个异常
unix下可以下载gcc的补丁,也是类似效果
(2) c数组边界检查, 这种方法效率太低,不适用
还有其他的方法,我不理解,所以就不谈了

2.系统/硬件级别的检测保护
比如windwos的 数据执行保护, 将堆和堆栈设置为不可执行,一旦检测到代码在这些地方执行,那么立刻引发一个异常, 不过绕过的方法也有哦

3. 运行时的动态检测
个人觉得这个才是安全产品应该研究的,因为这个不依赖于开发环境,以及系统的支持
然而目前的方法还是挂钩关键函数 LoadLibraryA或者GetProcAddr甚至是CreateProcessA这样函数,然后查看其返回地址,如果地址在堆栈中,就可以判定是溢出发生了,

对于动态检测的一些想法
(1) 在内核接管call和ret,不知道能不能实现,如果能接管,那么为线程创建一个"返回地址堆栈",当call发生时,将返回地址压在"返回地址堆栈"中,当ret时再进行对比,看看是否发生了溢出,可能操作比较麻烦
(2)同样也挂接关键函数,然后使用堆栈回溯技术来继续分析函数调用的位置,这样是否会通用一点呢?

还有一些问题:
1. 如何在windows下得到堆的信息呢?如何判断一个地址是否堆中的呢?单单判断是MEM_PRIVATE不行啊,peb,teb,这些都是吧
2. 是不是 有些加壳软件在安装了KABA7的机子上运行就报错 就是 缓冲区溢出检测导致的?
3. 关于堆栈回溯技术的问题,堆栈回溯技术主要基于ebp,如果ebp被破坏或者是函数被优化不能通过ebp回溯时,还有什么方法可以继续推测之前的call呢?难道要一一搜索堆栈?

希望能有朋友看到这篇文章,一起讨论