0day 第10章 --栈中的保护机制:GS

最新推荐文章于 2024-10-26 10:32:18 发布
原创 最新推荐文章于 2024-10-26 10:32:18 发布 · 895 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细解析了VS2010环境下GS安全保护机制的工作原理,包括其如何防止缓冲区溢出攻击,以及在特定条件下(如函数使用无保护关键字标记或缓冲区大小限制)的局限性。通过实例演示了如何启用GS保护,并展示了未受保护函数与受保护函数在IDA下的对比。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

文章目录

实验环境:

winxp sp3 、vs2010

实验要求:

vs编译时要求禁用优化、release版本

GS的保护原理

看图就明白了
在这里插入图片描述
在这里插入图片描述

在vs2010中可通过以下选项选择是否开启GS,默认开启:
在这里插入图片描述

GS保护的局限性:

(1) 函数不包含缓冲区

(2) 函数被定义为具有变量参数列表

(3) 函数使用无保护的关键字标记

(4) 函数在第一个语句中包含内嵌汇编代码

(5)缓冲区不是8字节类型且大小小于等于4个字节

针对(3)和(5)进行说明:

(3)通过添加 #pragma strict_gs_check(on) 可以对任意类型的函数添加Security Cookie,如:
在这里插入图片描述

(5)对上述不加关键字保护的程序进行编译运行,会出现内存访问冲突。其中0x75662065是“e fu”经过ASCII码转换后的值,说明返回地址已经被字符串覆盖了!
在这里插入图片描述
用IDA加载,观察到vulfunction函数在返回前果然没有Security Cookie
在这里插入图片描述
如果添加了关键字保护,编译运行直接弹出“缓冲区溢出”的框框
在这里插入图片描述
用IDA加载,观察到vulfunction函数在返回前添加了Security Cookie
在这里插入图片描述

保护机制GS
足球先生的专栏
04-24 1979
缓冲区溢出是漏洞利用中的重要一步。 通过设置编译选项/gs会给可执行文件中添加一些特殊的代码,来防止缓存区的溢出。比如#include <stdio.h> #include <string.h> #define BUF_LEN 16 unsigned char str[16+4+4]; void fun(unsigned char *data) { unsigned char buffer
浅析保护机制
najdhdfh的博客
11-11 4196
保护机制 canary canary意为金丝雀,作为保护技术之一,它的名字源自于17世纪,英国煤矿工人发现金丝雀对瓦斯十分敏感,每次下井都会带一只金丝雀作为“瓦斯检测指标”,从而挽救了很多工人的生命。 canary机制的原理很简单,就是在函数被调用之后,立即在帧中插入一个随机数,函数执行完在返回之前,程序通过检查这个随机数是否改变来判断是否存在栈溢出。如图所示,如果buf数据覆盖了目标地址(红色)处的数据,那canary(黄棕色)处的数据也会改变。 canary机制的绕过 要绕过canary也很简单
保护机制
hollk’s blog
06-22 5976
一、CANNARY(栈溢出保护) ​ 栈溢出保护是一种用缓冲区溢出攻击环节手段,当函数存在缓冲区溢出漏洞时,攻击者可以覆盖上的返回地址来让shellcode能够得到执行。当启用保护后,函数开始执行的时候就会向往里插入cookie信息,当函数真正返回的时候回验证cookie信息是否合法,若果不合法就会停止程序运行。攻击者在覆盖返回地址的时候往往也会将cookie信息给覆盖掉,导致保护检查失败...
的保护--windows和linux
TCP/IP
02-09 5581
对于为何要保护堆,请以“缓冲区溢出”,“堆”为关键词google一下,本文不再赘述。只要你的程序要调用函数,那么就要使用堆,不进行函数调用的程序已经很少了吧,难道你能忍受通篇的jmp,jne...等等手工作坊的方法吗?在linux和windows上,保护的方式最重要的莫过于两种, 一个是使用堆安全cookie;另一个是使不可执行。 上面提到的两种方式中,安全cookie提供了更大的保
4.3 带保护的链
加菲的小窝
09-26 695
Exercise 2 下面的代码试图使用拷贝构造函数实现链的重载赋值运算符,其中哪里有错? void Stack::operator =(conat Stack &original) {      Stack new_copy(original);     top_node=new_copy.top_node; } 如何修改这些代码以得到正确的实现? void Sta
《Windows安全机制》之GS机制
weixin_43742894的博客
06-02 3033
Windows安全机制第三弹——GS机制 第一篇《Windows安全机制——ASLR(地址随机化)及如何关闭ASLR》,地址如下:https://blog.youkuaiyun.com/weixin_43742894/article/details/105702886 第二篇《Windows安全机制——DEP保护》 ...
同时替换中和.data中的Cookie突破GS
Yx0051的博客
08-02 770
最近刚刚接触漏洞调试逆向,希望能够将自己调试过程中的看法与大家分享,望大神们不要喷我。参考书籍就是有名的《0day》,作为想接触漏洞的新手非常适合。 言归正传 GS机制: GS会在函数调用前往函数帧内压入一个随机数(canary),然后等函数返回前,会对canary进行核查,判断canary是否被修改。因为canary的地址是(前帧EBP-4),所以如果溢出攻击想要覆盖返回地址,就会路过
0day安全》——数据与程序的分水岭:DEP
sunr_的博客
08-31 649
DEP机制的保护原理 溢出攻击的根源在于区分不了代码与数据。 DEP 的基本原理是将数据所在内存页标识为不可执行,当程序溢出成功转入 shellcode 时,程序会尝试在数据页面上执行指令,此时 CPU 就会抛出异常,而不是去执行恶意指令。 DEP 的主要作用是阻止数据页(如默认的堆页、各种堆页以及内存池页)执行代码。微软从 Windows XP SP2 开始提供这种技术支持,根据实现的机制不同可分为:软件 DEP( Software DEP)和硬件 DEP( Hardware-enforced DEP
【读书笔记-《30天自制操作系统》-7】Day8
Ocean1994的博客
08-22 907
本篇讲解实现鼠标移动的最后工作,并且讲解前面没有详细说明的进入32位模式的过程。
淹没虚函数地址过GS保护(关闭DEP保护)
m0_64973256的博客
08-25 312
(2)既然我们需要shellcode前四个字节指向一段程序,为什么不直接指向下面的弹窗shellcode的位置,这是因为拷贝函数判断拷贝结束是看这个字节是否=\x00,而我们中的地址都是\x00开头,这样会导致拷贝终止,所以我们shellcode除了最后一个字节可以为\x00,其他地方均不得出现\x00,故而我们在程序中寻找不会出现\x00的地址,指向pop,pop,ret,达到控制程序流程到我们的shellcode的目的。覆盖虚表地址的四字节,同样是我们这段字符串在中的首地址。...
哨兵位————保护机制
快乐星球
10-18 795
哨兵位 :VS中哨兵位为8位;当数组越界时便会触发; 哨兵位的目的——————————保护 发生情况 数组越界时 : 数组越界问题在编译期间特别不容易发现,在有些情况下编译器只需要预估数组元素的大小,并不会真实访问数组元素,这时接可能在运行期间发生错误。 1 .所有需要自动分配内存的数组都放(创建)在上, 的增长方式为 高地址——————>低地址 所以数组在上存储时,首元素放在...
深入探讨保护机制:原理、用法及其替代品
最新发布
Java_fenxiang的博客
10-26 1037
保护机制(Stack Canary)是一种安全措施,旨在防止缓冲区溢出攻击。以下是有关保护机制的详细信息,包括原理、用法、场景和替代品。原理保护机制通过在函数的帧中插入一个“canary”值(即保护值)来工作。这个值在函数开始时被设置,通常位于返回地址和局部变量之间。当函数返回时,系统会检查这个值是否被修改。如果值...
函数调用的原理以及帧概念和保护机制栈溢出原理
2301_80548709的博客
12-21 637
1.首先,函数调用,相当于一摞盘子,为其新添一个盘子,指针会跳转到顶,向下运行程序,盘子就是调用的函数所生成的帧,调用一个函数后,中会自动为其分配空间,也就是盘子的大小.这涉及到在的边界处设置特殊的标记,当帧增长到一定程度时,检测到这个标记,系统就会触发异常,防止继续向上溢出。在栈溢出攻击中,攻击者通常会利用溢出的缓冲区来覆盖保存在上的返回地址。2.帧,包含了函数的参数,返回值,地址等信息,运行完一个函数后,会弹出该帧,也就是函数生命周期结束,返回上一个函数继续运行.
【C/C++ 基础栈溢出保护机制】【转载】
j8267643的博客
02-16 1497
以下是正文引言");\n", name);return 0;也许这段小程序给你带来了小小的成就感,也许直到课程结束也没人说这个程序有什么不对,也许你的老师在第一时间就指出这段代码存在栈溢出的漏洞,也许你后来又看到无数的文指出这个问题同时强调千万要慎用scanf函数,也许你还知道stackoverflow是最好的程序员网站。但可能从来没有人告诉你,什么是栈溢出栈溢出有什么危害、黑客们可以利用栈溢出来进行什么样的攻击,还有你最想知道的,他们是如何利用栈溢出来实现攻击的,以及如何防护他们的攻击。
从零开始学习winpwn(2)--GS保护
azraelxuemo的博客
02-10 1392
目录GS保护机制如何开启GS保护关闭GS结构开启GS保护之后如何判断程序有没有GS保护如何bypass GS格式化字符串漏洞复制\x00截断 GS保护机制 学习windows pwn第一个要认识的保护机制就是GS,他对应于linux下的canary保护。 他的用途就是,在old_ebp之前插入一段数据,并且再pop ebp之前检查该数据,如果对不上,说明发生了栈溢出,那么就结束执行 如何开启GS保护 进入vs2022,点击项目 选择属性,可以看到启用安全检查![ 可以选择禁用检查 关闭GS
GS保护技术
PwnGuo的博客
09-18 2148
GS保护检测栈溢出,在函数调用时向帧中压入一个额外的随机DWORD,就是常见的逆向代码中的Security Cookie. 带有Security_cookie的函数 Security Cookie 位于EBP之前,系统还将在.data的内存区域中存放一个Security Cookie的副本。 GS保护机制下的内存布局 系统比较帧中原先存放的Security Cookie和.data...
Linux 内核保护
qq_42693685的博客
11-27 548
保护
保护杂记
qq_42693685的博客
05-15 237
保护
根据String类型的时间段【2020-11-20 09:09:09,2021-10-09 10:10:10】先转换为【2020-11-20 00:00:00,2021-10-09 59:59:59】 再根据转换时间把里面的每一天的开始时间和结束时间获取出来 java
05-24
可以使用Java中的SimpleDateFormat类来解析时间字符串,然后使用Calendar类来进行时间计算。 以下是一个示例代码,可以将时间段转换为每天的开始时间和结束时间: ```java import java.text.SimpleDateFormat; ...
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值