void IntToStr(int i, char *str)
{
if (i < 0)
{
*str++ = '-';
i = -i;
}
char *strDigits = str;
do
{
*str++ = i % 10 + '0';
} while ((i /=10) > 0);
*str='/0';
reverseStr(strDigits);
}在上面的代码中,如果i == -2147483648时,对它求反将是2147483648,而这个值已经超过了int类型表示的最大值,即发生了上溢。应该用assert()宏来规定i的有效范围。
3缓冲区溢出
程序在运行过程中,为了临时存取数据的需要,一般都要分配一些内存空间,通常称这些空间为缓冲区。如果向缓冲区写入超过其本身长度的数据,以致于缓冲区无法容纳,就会造成缓冲区以外的存储单元被改写,这种现象就被称为缓冲区溢出。
请看如下代码:
#include
#include
#include
void func1(char *s)
{
char buf[10];
strcpy(buf, s);
}
void func2(void)
{
printf("Hacked by me./n");
exit(0);
}
int main (int argc, char* argv[])
{
char badCode[] = "111122223333444455556666";
DWORD* pEIP = (DWORD*)&badCode[16];
*pEIP = (DWORD)func2;
func1(badCode);
return 0;
}运行结果:
最重要的一点是把pEIP的地址及调用函数做成一串字符串,就会导致缓冲区溢出。
字符串处理操作是缓冲区溢出的常见根源,大部分是由于C/C++语言运行时库提供的标准字符串处理函数(strcat、strcpy、sprintf等)不会阻止超出缓冲区结尾的写入操作。所以需要使用更加安全的字符串函数来消除程序中许多潜在的缓冲区溢出。比如可以使用strncat、strncpy、snprintf等函数,来控制字符串操作的实际字符数,避免溢出的问题。而在最新的微软字符串操作库中,已经提供了一些安全的字符串操作函数,如strcpy_s、strcat_s等。
4栈溢出 系统的内核栈大小为一个可以设置的定值。一般内核栈的大小为4KB或8KB。因此由于程序的局部变量都分配在栈上,在写程序时模块的局部变量大小之和不应该超过这个栈的大小,否则就会发生栈溢出,而导致系统崩溃,例如下面的程序在Linux系统执行就会造成内核栈溢出:
#include
int init_module(void)
{
char buf[10000];
memset(buf, 0, 10000);
printk("kernel stack./n");
return 0;
}
void cleanup_module(void)
{
printk("goodbye./n");
}
MODULE_LICENSE("GPL");buf[10000]分配在栈上,但10000的空间超过了栈的默认大小8KB,所以发生溢出。
不仅系统栈会有溢出的问题,应用程序也可能会造成栈溢出。最常见的溢出可能就是当用递归算法写程序时,当递归嵌套过深,就会造成栈的溢出。因为递归调用的中间结果将保存在堆栈中。要防止递归造成的栈的溢出,可以跟踪递归的深度,当其大于某个深度就返回。也可以将递归算法改为非递归算法。
5指针溢出 指针的溢出可以理解为指针的错误运算,而指向了不该指向的地址。这个地址可能是NULL空间,可能是内核空间,也可能是无效的内存空间。例如:
void* memchr(void *pv, unsigned char ch, size_t size)
{
unsigned char *pch = (unsigned char *)pv;
unsigned char *pchEnd = pch + size;
while (pch < pchEnd)
{
if (*pch == pv)
{
return (pch);
}
pch++;
}
return (NULL);
}上面的代码用于查找内存中特定的字符位置。对于其中的while()循环,平时执行似乎都没有任何问题。但是考虑一种特别情况,即pv所指的内存位置为末尾若干个字节,那么因为pchEnd = pch + size,所以pchEnd指向最后一个字符的下一个字节,那么因为pchEnd所指的位置已经不存在,所以会发生指针溢出,因此在程序中应注意内存结尾的计算方式。
正确代码如下:
void* memchr(void *pv, unsigned char ch, size_t size)
{
unsigned char *pch = (unsigned char *)pv;
while (--size >= 0)
{
if (*pch == pv)
{
return (pch);
}
pch++;
}
return (NULL);
}
(完)