保护机制

最新推荐文章于 2025-08-19 10:26:30 发布

原创最新推荐文章于 2025-08-19 10:26:30 发布 · 1.2k 阅读

0 ·

本内容遵循CC 4.0 BY-SA版权协议

安全技术专栏收录该内容

4 篇文章

订阅专栏

本文介绍了四种防止栈溢出和代码注入攻击的保护机制：SSP（Stack Smashing Protection）、不可执行栈、不可执行内存页和ALSR（Address Space Layout Randomization）。SSP在程序最后检查栈溢出，但存在绕过可能；不可执行栈阻止shellcode执行，但Return To Libc攻击仍可行；不可执行内存页结合CPU的NX位增强防护，但面临ROP攻击挑战；ALSR通过随机化内存布局有效抵御ROP攻击，是当前最有效的防御手段之一。

一、SSP (Stack Smashing Protection)

SSP属于编译器层面的防护

具体实现

1，在栈中，ebp与变量之间插入随机值canary，用于监视是否栈溢出；

2，在栈中，刻意将数组放入栈的高地址，其他的变量放在低地址，防止溢出数组修改其他变量（指针）的值；

gcc (>=4.1)中默认开启SSP；

关闭SSP：gcc -fno-stack-protector

例如下面代码

owl@owl-VirtualBox:~$ cat ./smallbuffer.c 
//smallbuffer.c
#include <string.h>
int main (int argc[],char * argv[]){
	char buffer[10];
	strcpy(buffer,argv[1]);
}
owl@owl-VirtualBox:~$ gcc -fno-stack-protector -mpreferred-stack-boundary=2 -o smallbuffer smallbuffer.c //关闭SSP
owl@owl-VirtualBox:~$ gdb -q smallbuffer
Reading symbols from /home/owl/smallbuffer...(no debugging symbols found)...done.
(gdb) disassemble main
Dump of assembler code for function main:
   0x080483e4 <+0>:	push   ebp
   0x080483e5 <+1>:	mov    ebp,esp
   0x080483e7 <+3>:	sub    esp,0x14
   0x080483ea <+6>:	mov    eax,DWORD PTR [ebp+0xc]	//将参数地址，放至esp+0x4
   0x080483ed <+9>:	add    eax,0x4
   0x080483f0 <+12>:	mov    eax,DWORD PTR [eax]
   0x080483f2 <+14>:	mov    DWORD PTR [esp+0x4],eax
   0x080483f6 <+18>:	lea    eax,[ebp-0xa]		//将buffer的地址，放至esp
   0x080483f9 <+21>:	mov    DWORD PTR [esp],eax
   0x080483fc <+24>:	call   0x8048300 <strcpy@plt>
   0x08048401 <+29>:	leave  				//pop ebp 
   0x08048402 <+30>:	ret    
End of assembler dump.

owl@owl-VirtualBox:~$ gcc -mpreferred-stack-boundary=2 -o smallbuffer smallbuffer.c 		//默认开启SSP
owl@owl-VirtualBox:~$ gdb -q smallbuffer
Reading symbols from /home/owl/smallbuffer...(no debugging symbols found)...done.
(gdb) disassemble main
Dump of assembler code for function main:
   0x08048434 <+0>:	push   ebp
   0x08048435 <+1>:	mov    ebp,esp
   0x08048437 <+3>:	sub    esp,0x20
   0x0804843a <+6>:	mov    eax,DWORD PTR [ebp+0x8]	//get argc
   0x0804843d <+9>:	mov    DWORD PTR [ebp-0x14],eax
   0x08048440 <+12>:	mov    eax,DWORD PTR [ebp+0xc]	//get argv pointer
   0x08048443 <+15>:	mov    DWORD PTR [ebp-0x18],eax
   0x08048446 <+18>:	mov    eax,gs:0x14		//set the canary
   0x0804844c <+24>:	mov    DWORD PTR [ebp-0x4],eax
   0x0804844f <+27>:	xor    eax,eax			//eax=0
   0x08048451 <+29>:	mov    eax,DWORD PTR [ebp-0x18]	//strcpy()
   0x08048454 <+32>:	add    eax,0x4
   0x08048457 <+35>:	mov    eax,DWORD PTR [eax]
   0x08048459 <+37>:	mov    DWORD PTR [esp+0x4],eax
   0x0804845d <+41>:	lea    eax,[ebp-0xe]
   0x08048460 <+44>:	mov    DWORD PTR [esp],eax
   0x08048463 <+47>:	call   0x8048350 <strcpy@plt>
   0x08048468 <+52>:	mov    edx,DWORD PTR [ebp-0x4]	//stack_overflow_check
   0x0804846b <+55>:	xor    edx,DWORD PTR gs:0x14
   0x08048472 <+62>:	je     0x8048479 <main+69>
   0x08048474 <+64>:	call   0x8048340 <__stack_chk_fail@plt>
   0x08048479 <+69>:	leave  
   0x0804847a <+70>:	ret    
End of assembler dump.

存在的问题：1，未保护栈中的其他变量；

2，在特定情况，可以利用数组，绕过canary；

3，栈溢出检查是在程序最后，程序中调用函数造成溢出，仍可控制eip；