一个局部变量竟然自己变了!栈溢出实例分享

最新推荐文章于 2025-12-13 12:19:21 发布
转载 最新推荐文章于 2025-12-13 12:19:21 发布 · 33 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:https://mp.weixin.qq.com/s?__biz=MzI4MDI4MDE5Ng==&mid=2247532505&idx=1&sn=6a2fb78e20853b3fd4d88584bc9370bb&chksm=ea05176fa23e333401b103c51dd3c8d7923b1ffb7f9d8aca7314130ee43f3eec434f4e5f6461&scene=126&sessionid=0
文章标签:

#java #开发语言

关注+星标公众,不错过精彩内容

来源 | 嵌入式大杂烩

分享一个最近遇到的栈溢出的经典例子。

1. 问题现象

某个状态码从正常的 0x01 突然变了。

核心代码简化后如下:

两次打印之间只调用了 read_data(),没有任何代码修改 status,但它就是变了。某个情况下read_data读到了24个字节的数据,但是缓冲区只给了16个字节,溢出了,溢出的字节覆盖了 status

这种栈溢出篡改数据的问题,在定位到的时候觉得很简单。但是实际这种情况,并且是偶现问题,而且代码不像是上面这个简化代码这么简单,问题代码藏在一堆代码之间,排查起来还是挺费时间的。

2. 原因分析

为了理解为何 status 会被改,我们需要看清函数栈帧的内存布局:

栈向下增长,局部变量按声明顺序从高地址向低地址分配。strcpy 写入24字节到16字节的buffer时,多出的8字节会向上溢出,覆盖相邻的内存区域。

注意:

  1. 同一函数内局部变量的布局,由编译器决定,不一定按声明顺序。即首先声明的变量不一定是存放在高地址。

  2. 栈的生长方向不能改变,这是由 CPU 架构决定。

测试代码:

运行结果:

status 的地址 0x7ffc8b2a3c4f 正好在 buffer 地址 0x7ffc8b2a3c40 之后15字节处(0x40 + 0x0f = 0x4f)。

解决方案:用安全版本的字符串函数。

2.1 为什么栈会溢出?

C语言的 strcpysprintf 等函数不做边界检查。当源数据大于目标缓冲区时,多余数据会继续写入相邻内存。

栈上相邻的可能是:

  1. 其他局部变量(本案例)

  2. 函数返回地址(更危险,会导致程序崩溃或被利用)

  3. 栈帧指针(EBP/RBP)

2.2 编译器选项增强检测

现代编译器(GCC 7+)有栈保护机制(Stack Canary),但默认只保护返回地址,不保护局部变量之间的溢出。可以通过编译选项增强检测:

# 栈保护(检测返回地址破坏)
gcc -fstack-protector-all -o test test.c

# AddressSanitizer(检测所有内存越界)
gcc -fsanitize=address -g -o test test.c

使用 AddressSanitizer 重新编译运行,立即得到精确报错:

=================================================================
==12345==ERROR: AddressSanitizer: stack-buffer-overflow on address 0x7ffc8b2a3c50
WRITE of size 24 at 0x7ffc8b2a3c40 thread T0
    #0 0x... in strcpy
    #1 0x... in read_data test.c:6
    #2 0x... in data_process test.c:15

3. 栈溢出预防措施

3.1 代码规范

禁止使用的危险函数

危险函数

安全替代

原因

strcpystrncpy

 / strlcpy

无边界检查

sprintfsnprintf

无边界检查

getsfgets

无法限制长度

scanf("%s")scanf("%Ns")

无边界检查

3.2 工具

  1. 静态分析

    # Cppcheck
cppcheck --enable=all --error-exitcode=1 src/

# Clang Static Analyzer
scan-build make

  2. 动态检测:测试环境默认开启

    # Valgrind内存检测
valgrind --leak-check=full ./test

# AddressSanitizer
ASAN_OPTIONS=detect_stack_use_after_return=1 ./test

相关文章:

嵌入式开发调试利器 | Sanitizer检测器

工具 | Valgrind仿真调试工具的使用

推荐一个好用的嵌入式静态代码扫描工具!

总结

永远不要相信输入数据的长度,即使是"可信"的传感器数据。

编译器不会完全保护你,需要主动启用检测工具。

栈溢出是最常见的内存错误,但只要建立起"缓冲区必须传大小"的编码习惯,90%的问题都可以避免。

如果这篇文章对你有帮助,欢迎转发。欢迎分享你的踩坑经历。

高性能M85内核MCU+EtherCAT与电机应用

嵌入式软件开发有哪些细分方向?

哪些被 "null" 坑过的程序员
strongerHuang
关注
通过Stack Overflow线程栈溢出的问题实例,详解C++程序线程栈溢出的诸多细节
dvlinker的技术专栏
08-04 2万+
通过Stack Overflow线程栈溢出的问题实例,详解C++程序线程栈溢出的诸多细节
第 5 章 一 虚拟机栈 (局部变量表、操作数栈、动态链接)、解析和分派同时具有静态和动态
Guizy
01-02 2715
第 5 章 虚拟机栈 1、虚拟机栈概述 -Xss512k 设置栈内存大小为512k 1.1、虚拟机栈的出现背景 文档网址 https://docs.oracle.com/javase/specs/jvms/se8/html/index.html 虚拟机栈出现的背景 由于跨平台性的设计,Java的指令都是根据栈来设计的。不同平台CPU架构不同,所以不能设计为基于寄存器的。 优点: 跨平台,指令集小,编译器容易实现,缺点: 性能下降,实现同样的功能需要更多的指令。 内存中的栈与堆 首
局部变量太大导致栈溢出
unclerunning的博客
07-17 1万+
局部变量太大导致栈溢出问题: 昨天,有同学遇到栈溢出的问题。在做大三小学期项目时,需要一个750x750的矩阵。于是在栈中定义了一个二维数组。为了说明问题,做如下简化: /* 测试环境: window平台 vs2013 */int main() { //占用栈内存,局部变量,太大,栈溢出 double test[750][750]; return 0; } 这看似没有
[超详细]栈溢出漏洞原理实例讲解
Breeze的博客
05-03 2万+
[超详细]通过实例讲解栈溢出漏洞 文章目录[超详细]通过实例讲解栈溢出漏洞代码简介分析程序整体执行流程程序执行细节及栈空间栈溢出通过栈溢出控制程序执行结果通过栈溢出插入代码 本篇文章通过《0day安全:软件漏洞分析技术》书中第二章中所用到的一个程序的栈溢出漏洞的复现,以及使用OD一步步调试来学习栈溢出完整的原理。程序虽然简单,但在一些基础薄弱的人眼中还是无法理解,所以导致很多新手到了这里就被“...
Stack overflow 线程栈溢出异常,程序崩溃在汇编代码 test dword ptr [eax],eax 上的问题排查
热门推荐
dvlinker的技术专栏
07-15 3万+
本文详细讲述线程栈溢出异常,程序崩溃在汇编代码test dword ptr [eax],eax上问题的排查过程。
初识栈溢出及利用栈溢出的四种攻击方法
Kni9hT's Blog
07-22 6202
栈溢出 本质: 混淆了用户输入与栈上的元数据 产生原因: 用户输入的数据大小超过了程序预留的空间大小 利用: 覆盖返回地址 覆盖栈上的量,例如函数指针或对象指针 基本栈溢出漏洞实例:实际演示 stack_shellcode 以python语言举例, 运行报错。 据我理解,在python中,函数调用一次,栈(stack)多加一层栈帧,由于栈帧的增加有上限,函数调用次数过多会导致栈溢出。(在c语...
栈溢出攻击的一次简单尝试
Shreck66的专栏
03-10 4073
1.栈溢出一个简单实例下面程序可能是那些接触C不久之后,可能会犯的一个数组越界导致缓冲区溢出的一个小例子#include <stdio.h> #include <unistd.h> #include <stdlib.h>void func(void) { int a = 23456; int b[2]; printf("b[2] = %d\n",b[2]); }in
栈溢出例子理解
qq_36760780的博客
07-22 6554
背景:最近在看一些教学视频,然后主讲人敲了一段栈溢出的代码。我当场蒙蔽了-。- ! 而且他也没有细讲原理,最为一名爱探险星人,我决定Get it。 栈溢出示例代码: #include&lt;Windows.h&gt; #include&lt;stdio.h&gt; #include&lt;stdlib.h&gt; void Msg() { MessageBoxA(NULL, "嘿嘿!...
JVM04_虚拟机栈概述、局部变量表、操作数栈、动态链接、方法的返回地址、附加信息
所得皆惊喜
08-19 4057
①. 程序计数器 ①. 作用,是用来存储指向下一条指令的地址,也即将要执行的指令代码。由执行引擎读取下一条指令 ②. 特点:①. 是线程私有的 ②. 不会存在内存溢出 ③. 注意:在物理上实现程序计数器是在寄存器实现的,整个cpu中最快的一个执行单元 ④. 它是唯一一个java虚拟机规范中没有OOM的区域 解释: ⑤. 使用PC寄存器存储字节码指令地址有什么用呢? 为什么使用PC寄存器记录当前线程的执行地址呢? ⑥. PC寄存器为什么设定为线程私有? (为了能够准确
java字段太多会栈溢出_Java内存溢出与栈溢出
weixin_39931390的博客
02-27 1261
https://blog.youkuaiyun.com/z69183787/article/details/75530650一、背景知识1、JVM体系结构2、JVM运行时数据区3、JVM内存模型JVM运行时内存 = 共享内存区 + 线程内存区3-1、共享内存区共享内存区 = 持久带 + 堆持久带 = 方法区 + 其他堆 = Old Space + Young SpaceYoung Space = Eden +...
javascript 性能优化实战:异步和延迟加载
小伙伴们全都Lucky!
12-11 864
本文探讨JavaScript性能优化中的异步加载与延迟加载技术。异步加载通过async/defer属性或动态创建script元素避免阻塞渲染;延迟加载则利用IntersectionObserver API按需加载非关键资源。二者结合可显著提升性能:异步加载核心脚本确保交互流畅,延迟加载减少初始请求量。实践表明,该方案能降低DOMContentLoaded时间30%以上,减少初始加载量90%,但需注意async脚本的执行顺序问题和延迟加载的回退处理。文中提供了完整的代码实现示例。
XML Schema 日期/时间 数据类型
csbysj2020的博客
12-11 468
datedateTimetimegYeargYearMonthgDaygMonthgMonthDayduration这些数据类型分别表示不同的日期和时间范围,适用于不同的应用场景。本文介绍了 XML Schema 中日期/时间数据类型的相关概念、类型、格式以及注意事项。通过了解这些知识,有助于我们在 XML 文档中正确地表示日期和时间数据,提高数据的一致性和准确性。
Java Stream 数据处理笔记:从嵌套集合中过滤特定类别的Map
DolphinHome的博客
12-09 507
扁平化嵌套结构:使用flatMap将转换为Stream<T>过滤条件放置:在收集前进行过滤,避免处理不必要的数据空值安全:多层空值检查防止NPE性能优化先过滤后映射大数据量使用并行流使用合适的Map实现(如用于并行流)冲突处理:指定合并函数处理键冲突通过以上方法,您可以高效地从复杂嵌套结构中提取并过滤特定类别的数据,构建所需的Map结构。这种模式在实际项目中非常常见,掌握这些技巧能显著提升代码质量和开发效率。
基于Java+SpringBoot+Vue的美甲店管理系统【附源码+文档+部署视频+讲解)
小熊的博客
12-11 1157
基于SpringBoot的美甲店管理系统开发案例,涵盖用户、美甲师和管理员三大角色功能模块,采用Vue+SpringBoot+MySQL技术栈实现。系统包含服务预约、订单管理、耗材采购等全流程数字化功能,采用MVC设计模式和B/S架构。包含用户、美甲师、管理员三类角色的功能模块,该系统聚焦美甲店的日常运营场景,通过用户端浏览服务与套餐、美甲师端处理预约与评价、管理员端统筹人员、业务与资源的模式,实现美甲店从服务展示、预约调度到耗材管理的全流程数字化,提升门店运营效率与服务体验。
【QML】C++访问QML控件
weixin_53161762的博客
12-10 304
这些就可以使用obj->findChild<QObject *>(“rect”);根据对象的名字找到对应的对象,然后使用QQmlProperty修改对的应的属性了。如上图可知,在qml文件里面的qml控件的属性已经被cpp文件的中c++修改了。如上图,触发了qml中的信号后,就打印出c++中的槽函数。如上图,信号和函数和返回值都触发成功了。先创建一个c++类,然后写一个槽函数。main.cpp中加入以下代码。main.cpp文件。
powerjob的使用
最新发布
weixin_42074941的博客
12-13 334
注册后使用注册的服务名和密码登录。
java面试:怎么保证消息队列当中的消息丢失、重复问题?
2301_80939853的博客
12-11 909
在面试的过程之中,假设你在简历当中填写了mq的相关技术,那面试官大概率会考察这方面的问题来看看你对mq相关知识的掌握程度,小编在这一块也被拷打过,今天就和大家一起来了解一下这方面的知识,希望大家都有所提升。
实习面试题-Java 虚拟机面试题
CXY00000的博客
12-13 65
Java垃圾回收算法主要有三种:1)标记-清除算法(Mark-Sweep),先标记存活对象再清除垃圾,但会产生内存碎片;2)复制算法(Copying),将存活对象复制到另一半内存,解决碎片问题但浪费空间;3)标记-整理算法(Mark-Compact),先标记后整理存活对象消除碎片,适合老年代。JVM由类加载器、运行时数据区、执行引擎和本地方法接口组成,共同实现Java程序的跨平台运行。
springboot 1.54 双redis连接池 配置和使用
stregeditor的程序人生
12-12 710
事情原因 我手上主redis 内存不大 ,不想迁移了,重新配置一台redis做额外计算使用,所以打算修改服务增加第二个redis连接配置 ,把新增需求放在第二个redis上计算,废话就不多说,上图和代码。@Qualifier("averageRedisTemplate") // 新增:用于平均值计算的Redis。@Qualifier("rediskqxsTemplate") // 原Redis。// 第二个Redis配置(平均值Redis)// 第一个Redis配置(原Redis)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值