1、緩沖區(qū)溢出攻擊詳細講解緩沖區(qū)溢出（BufferOverflow）是計算機安全領域內既經典而又古老的話題。隨著計算機系統(tǒng)安全性的加強，傳統(tǒng)的緩沖區(qū)溢出攻擊方式可能變得不再奏效，相應的介紹緩沖區(qū)溢出原理的資料也變得“大眾化”起來。其中看雪的《0day安全：軟件漏洞分析技術》一書將緩沖區(qū)溢出攻擊的原理闡述得簡潔明了。本文參考該書對緩沖區(qū)溢出原理的講解，并結合實際的代碼實例進行驗證。不過即便如此，完成一個簡單的溢出代碼也需要解決很多書中無法涉及

2、的問題，尤其是面對較新的具有安全特性的編譯器——比如MS的VisualStudio2010。接下來，我們結合具體代碼，按照對緩沖區(qū)溢出原理的循序漸進地理解方式去挖掘緩沖區(qū)溢出背后的底層機制。一、代碼數據顧名思義，緩沖區(qū)溢出的含義是為緩沖區(qū)提供了多于其存儲容量的數據，就像往杯子里倒入了過量的水一樣。通常情況下，緩沖區(qū)溢出的數據只會破壞程序數據，造成意外終止。但是如果有人精心構造溢出數據的內容，那么就有可能獲得系統(tǒng)的控制權！如果說用戶（也可

3、能是黑客）提供了水——緩沖區(qū)溢出攻擊的數據，那么系統(tǒng)提供了溢出的容器——緩沖區(qū)。緩沖區(qū)在系統(tǒng)中的表現形式是多樣的，高級語言定義的變量、數組、結構體等在運行時可以說都是保存在緩沖區(qū)內的，因此所謂緩沖區(qū)可以更抽象地理解為一段可讀寫的內存區(qū)域，緩沖區(qū)攻擊的最終目的就是希望系統(tǒng)能執(zhí)行這塊可讀寫內存中已經被蓄意設定好的惡意代碼。按照馮諾依曼存儲程序原理，程序代碼是作為二進制數據存儲在內存的，同樣程序的數據也在內存中，因此直接從內存的二進制形式上是

4、無法區(qū)分哪些是數據哪些是代碼的，這也為緩沖區(qū)溢出攻擊提供了可能。圖2函數棧幀如圖所示，我們定義了一個簡單的函數function，它接受一個整形參數，做一次乘法操作并返回。當調用function(0)時，arg參數記錄了值0入棧，并將callfunction指令下一條指令的地址0x00bd16f0保存到棧內，然后跳轉到function函數內部執(zhí)行。每個函數定義都會有函數頭和函數尾代碼，如圖綠框表示。因為函數內需要用ebp保存函數棧幀基址，

5、因此先保存ebp原來的值到棧內，然后將棧指針esp內容保存到ebp。函數返回前需要做相反的操作——將esp指針恢復，并彈出ebp。這樣，函數內正常情況下無論怎樣使用棧，都不會使棧失去平衡。subesp44h指令為局部變量開辟了?？臻g，比如ret變量的位置。理論上，function只需要再開辟4字節(jié)空間保存ret即可，但是編譯器開辟了更多的空間（這個問題很詭異，你覺得呢？）。函數調用結束返回后，函數棧幀恢復到保存參數0時的狀態(tài)，為了保持棧