检测和防治stack缓冲区溢出的方法可谓是汗牛充栋，如果讲起来，那便是一个系列，我也不知道该从何说起。

然而，总觉得有点纸上谈兵的意思。为什么我会这么说？

因为这玩意儿大家都懂，想破解还是很容易的，只需要破解FS:0x28即可，然后就一泻千里了，我把guard保留，实际上里面已经糜烂…

若攻若防，都要出其不意，当然了，这里有一个比较直接的方案：

• 每一次函数调用均使用 __builtin_return_address(0) 作为最后一个参数，函数的最后检测8(%rbp)的值和它是否相等。

  
  

这种方法可行，姑且不谈__builtin_return_address需要绝对地址转换，单凭可操作性，这种方法绝不优雅！

有没有什么办法，不需要程序做任何改变，就能做到检测stack缓冲区溢出呢？

当然有！在编译过程中添加stub即可！

只需要为每一个函数调用的开头和结尾加两段修饰即可：

• 开头在代码执行前的第一时间保存rbp下面的return address到fs寄存器0x28偏移处。

• 函数返回前最后一刻检查rbp下面的return address和fs寄存器0x28偏移处值是否相等。

• …[其实fs寄存器还有很多偏移没有用到，为啥非要瞄准0x28，因为我想替掉stack protector]

  
  

我无心修改Linux的gcc编译器，我也无力修改，所以我这里只能演示，下面是一个代码：

我在func函数中主动制造了一个控制权转移：

如果不加那两段stub，很显然，控制流程将转入到别处：

然而，这两段stub成功保护了stack按照原有逻辑继续下去：

当然了，在发生了这种情况的时候，至少要记录一条日志：

执行一下试试看：

你可能记得__stack_chk_failed函数，我觉得这个机制不妥，因为我曾经成功绕过了它，所以就我个人而言，我忘掉了它。

记住两件套：

至于当前栈帧的return address保存在哪里，我觉得要区分用户态和内核态。若是用户态，那就放在FS寄存器索引的固定偏移处，若是内核态，per cpu变量再好不过了，毕竟一个CPU同时只能处在一个栈帧。

周日的上海阴风怒号，这正是我喜欢的天气，从此以后，所有的一切和经理再无关系，然而还是有一点点，因为经理洒不了水。谢…

————————————————

版权声明：本文为CSDN博主「dog250」的原创文章，遵循 CC 4.0 BY-SA 版权协议，转载请附上原文出处链接及本声明。

原文链接：

https://blog.csdn.net/dog250/java/article/details/105611497

免责声明：本文内容由21ic获得授权后发布，版权归原作者所有，本平台仅提供信息存储服务。文章仅代表作者个人观点，不代表本平台立场，如有问题，请联系我们，谢谢！