"rm /etc/passwd"
假如您能取得 root 的权限,运行着条命令, 系统的passwd 文档就会被移走,系统会被停下而且在短期内不能恢复.这样做回造成巨大的损失.
假如您准备将特洛伊木马程式添加到您的系统中,您应遵守几条规则.假如是为了不可告人的目的(如解开用户的mbox或删除他的任何文档或其他什么的) 这个程式不可能是个能让别人运行多次的程式,因为一旦人们发现他们的文档都已公开,问题的根源就很容易被发现.假如是以一个'测试'程式为目的(如您正在写的一个游戏程式),您能通过邮件需要不同的人来运行或和他们讨论.正如我所说,这个'测试'程式当完成任务时能显示假的错误信息,您就能够告诉那人" 唔,我想他应改进", 等到他们离开,您就能读任何您解开的文档了.假如您的特洛伊木马程式只是为用来找到特别的用户,如root或其他的拥有很高权限的用户,您能够将代码加入到系统中那些用户使用频率比较高的程式中. 您的修改会潜伏着直到他运行那程式. 假如您不能找到能让您'星际旅行'的源程式或其他的C语言程式,您只要学了C语言并从pascal中变换过一些来. 学习C语言并没有什么损失,因为他是一种很了不起的语言.我们已看到他能在UNIX系统上所能干的.一旦您抓到 root (也就是说您已能够修改 /etc/passwd 文档) 从您的特洛伊木马程式中删除伪造用的代码,这样一来您就永远不会被抓了.
Buffer Overflow 机理剖析
使用Buffer Overflow 方法来入侵目的主机是黑客们经常采用的一种手段,本文将几篇介绍其机理的文章作了一些加工整理, 对他的机理作出了由浅入深的剖析.
本文分为下面几个部分, 朋友们能够按照自己的兴趣选择不同的章节:
关于堆栈的基础知识
Buffer Overflow 的原理
Shell Code 的编写
实际运用中碰到的问题
附录
1. 关于堆栈的基础知识
一个应用程式在运行时,他在内存中的映像能够分为三个部分: 代码段 , 数据段和堆栈段(参见下图). 代码段对应和运行文档中的 Text Section ,其中包括运行代码和只读数据, 这个段在内存中一般被标记为只读 , 任何企图修改这个段中数据的指令将引发一个 Segmentation Violation 错误. 数据段对应和运行文档中的 Data Section 和 BSS Section ,其中存放的是各种数据(经过初始化的和未经初始化的)和静态变量.
下面我们将周详介绍一下堆栈段.
|--------| 虚存低端
| |
| 代码段 |
| |
|--------|
| |
| 数据段 |
| |
|--------|
| |
| 堆栈段 |
| |
|--------| 虚存高端
堆栈是什么?
假如您学过<<数据结构>>这门课的话, 就会知道堆栈是一种电脑中经常用到的抽象数据类型. 作用于堆栈上的操作主要有两个: Push 和 Pop , 既压入和弹出. 堆栈的特点是LIFO(Last in , First out), 既最后压入堆栈的对象最先被弹出堆栈.
堆栈段的作用是什么?
现在大部分程式员都是在用高级语言进行模块化编程, 在这些应用程式中,不可避免地会出现各种函数调用, 比如调用C 运行库,Win32 API 等等. 这些调用大部分都被编译器编译为Call语句. 当CPU 在执行这条指令时, 除了将IP变为调用函数的入口点以外, 还要将调用后的返回地址放入堆栈. 这些函数调用往往还带有不同数量的入口参数和局部变量, 在这种情况下,编译器往往会生成一些指令将这些数据也存入堆栈(有些也可通过寄存器传递).
我们将一个函数调用在堆栈中存放的这些数据和返回地址称为一个栈帧(Stack Frame).
栈帧的结构:
下面我们通过一个简单的例子来分析一下栈帧的结构.
void proc(int i)
{
int local;
local=i;
}
void main()
{
proc(1);
}
这段代码经过编译器后编译为:(以PC为例)
main:push 1
call proc
...
proc:push ebp
mov ebp,esp
sub esp,4
mov eax,[ebp 08]
mov [ebp-4],eax
add esp,4
pop ebp
ret 4
下面我们分析一下这段代码.
main:push 1
call proc
首先, 将调用要用到的参数1压入堆栈,然后call proc
proc:push ebp
mov ebp,esp
我们知道esp指向堆栈的顶端,在函数调用时,各个参数和局部变量在堆栈中的位置只和esp有关系,如可通过[esp 4]存取参数1. 但随着程式的运行,堆栈中放入了新的数据,esp也随之变化,这时就不能在通过[esp 4]来存取1了. 因此, 为了便于参数和变量的存取, 编译器又引入了一个基址寄存器ebp, 首先将ebp的原值存入堆栈,然后将esp的值赋给ebp,这样以后就能够一直使用[ebp 8]来存取参数1了.
sub esp,4
将esp减4,留出一个int的位置给局部变量 local 使用, local可通过[ebp-4]来存取
mov eax,[ebp 08]
mov [ebp-4],eax
就是 local=i;
add esp,4
pop ebp
ret 4
首先esp加4,收回局部变量的空间,然后pop ebp, 恢复ebp原值,最后 ret 4,从堆栈中取得返回地址,将EIP改为这个地址,并且将esp加4,收回参数所占的空间.
不难看出,这个程式在执行proc过程时,栈帧的结构如下:
4 4 4 4
[local] [ebp] [ret地址] [参数1] 内存高端
| |
esp(栈顶)ebp
因此,我们能够总结出一般栈帧的结构:
..[local1][local2]..[localn][ebp][ret地址][参数1][参数2]..[参数n]
| |
文章整理:西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
