论坛: 黑客进阶 标题: 进程中的内存结构[改] 复制本贴地址    
作者: tabris17 [tabris17]    论坛用户   登录
上次写的教程抽象了一点。这次的教程将会结合一些具体代码实例。

接触过编程的人都知道,高级语言都能通过变量名来访问内存中的数据。那么这些变量在内存中是如何存放的呢?程序又是如何使用这些变量的呢?下面就会对此进行深入的讨论。下文中的C语言代码如没有特别声明,默认都使用VC编译的release版。

首先,来了解一下 C 语言的变量是如何在内存分部的。C 语言有全局变量(Global)、本地变量(Local),静态变量(Static)、寄存器变量(Regeister)。每种变量都有不同的分配方式。先来看下面这段代码:

#include <stdio.h>

int g1=0, g2=0, g3=0;

int main()
{
static int s1=0, s2=0, s3=0;
int v1=0, v2=0, v3=0;

printf("0x%08x\n",&v1); //打印出各个变量的内存地址
printf("0x%08x\n",&v2);
printf("0x%08x\n\n",&v3);
printf("0x%08x\n",&g1);
printf("0x%08x\n",&g2);
printf("0x%08x\n\n",&g3);
printf("0x%08x\n",&s1);
printf("0x%08x\n",&s2);
printf("0x%08x\n\n",&s3);
return 0;
}

编译后的执行结果是:

0x0012ff78
0x0012ff7c
0x0012ff80

0x004068d0
0x004068d4
0x004068d8

0x004068dc
0x004068e0
0x004068e4

输出的结果就是变量的内存地址。其中v1,v2,v3是本地变量,g1,g2,g3是全局变量,s1,s2,s3是静态变量。你可以看到这些变量在内存是连续分布的,但是本地变量和全局变量分配的内存地址差了十万八千里,而全局变量和静态变量分配的内存是连续的。这是因为本地变量和全局/静态变量是分配在不同类型的内存区域中的结果。对于一个进程的内存空间而言,可以在逻辑上分成3个部份:代码区,静态数据区和动态数据区。动态数据区一般就是“堆栈”。在windows平台下只能称作“栈(stack)”,因为windows下的“堆(heap)”是另外一个东西,但习惯上我们还是称它为“堆栈”。进程的每个线程都有私有的“栈”,所以每个线程虽然代码一样,但本地变量的数据都是互不干扰。一个堆栈可以通过“基地址”和“栈顶”地址来描述。全局变量和静态变量分配在静态数据区,本地变量分配在动态数据区,即堆栈中。程序通过堆栈的基地址和偏移量来访问本地变量。


├―――――――┤低端内存区域
│    ……      │
├―――――――┤
│  动态数据区  │
├―――――――┤
│    ……      │
├―――――――┤
│    代码区    │
├―――――――┤
│  静态数据区  │
├―――――――┤
│    ……      │
├―――――――┤高端内存区域


堆栈是一个先进后出的数据结构,栈顶地址总是小于等于栈的基地址。我们可以先了解一下函数调用的过程,以便对堆栈在程序中的作用有更深入的了解。不同的语言有不同的函数调用规定,这些因素有参数的压入规则和堆栈的平衡。windows API的调用规则和ANSI C的函数调用规则是不一样的,前者由被调函数调整堆栈,后者由调用者调整堆栈。两者通过“__stdcall”和“__cdecl”前缀区分。先看下面这段代码:

#include <stdio.h>

void __stdcall func(int param1,int param2,int param3)
{
int var1=param1;
int var2=param2;
int var3=param3;
printf("0x%08x\n",&param1); //打印出各个变量的内存地址
printf("0x%08x\n",&param2);
printf("0x%08x\n\n",&param3);
printf("0x%08x\n",&var1);
printf("0x%08x\n",&var2);
printf("0x%08x\n\n",&var3);
return;
}

int main()
{
func(1,2,3);
return 0;
}

编译后的执行结果是:

0x0012ff78
0x0012ff7c
0x0012ff80

0x0012ff68
0x0012ff6c
0x0012ff70



├―――――――┤<―函数执行时的栈顶(ESP)、低端内存区域
│    ……      │
├―――――――┤
│    var 1    │
├―――――――┤
│    var 2    │
├―――――――┤
│    var 3    │
├―――――――┤
│    RET      │
├―――――――┤<―“__cdecl”函数返回后的栈顶(ESP)
│ parameter 1  │
├―――――――┤
│ parameter 2  │
├―――――――┤
│ parameter 3  │
├―――――――┤<―“__stdcall”函数返回后的栈顶(ESP)
│    ……      │
├―――――――┤<―栈底(基地址 EBP)、高端内存区域


上图就是函数调用过程中堆栈的样子了。首先,三个参数以从又到左的次序压入堆栈,先压“param3”,再压“param2”,最后压入“param1”;然后压入函数的返回地址(RET),接着跳转到函数地址接着执行(这里要补充一点,介绍UNIX下的缓冲溢出原理的文章中都提到在压入RET后,继续压入当前EBP,然后用当前ESP代替EBP。然而,有一篇介绍windows下函数调用的文章中说,在windows下的函数调用也有这一步骤,但根据我的实际调试,并未发现这一步,这还可以从param3和var1之间只有4字节的间隙这点看出来);第三步,将栈顶(ESP)减去一个数,为本地变量分配内存空间,上例中是减去12字节(ESP=ESP-3*4,每个int变量占用4个字节);接着就初始化本地变量的内存空间。由于“__stdcall”调用由被调函数调整堆栈,所以在函数返回前要恢复堆栈,先回收本地变量占用的内存(ESP=ESP+3*4),然后取出返回地址,填入EIP寄存器,回收先前压入参数占用的内存(ESP=ESP+3*4),继续执行调用者的代码。参见下列汇编代码:

//--------------func 函数的汇编代码-------------------

:00401000 83EC0C                  sub esp, 0000000C //创建本地变量的内存空间
:00401003 8B442410                mov eax, dword ptr [esp+10]
:00401007 8B4C2414                mov ecx, dword ptr [esp+14]
:0040100B 8B542418                mov edx, dword ptr [esp+18]
:0040100F 89442400                mov dword ptr [esp], eax
:00401013 8D442410                lea eax, dword ptr [esp+10]
:00401017 894C2404                mov dword ptr [esp+04], ecx

……………………(省略若干代码)

:00401075 83C43C                  add esp, 0000003C //恢复堆栈,回收本地变量的内存空间
:00401078 C3                      ret 000C //函数返回,恢复参数占用的内存空间
//如果是“__cdecl”的话,这里是“ret”,堆栈将由调用者恢复

//-------------------函数结束-------------------------


//--------------主程序调用func函数的代码--------------

:00401080 6A03                    push 00000003 //压入参数param3
:00401082 6A02                    push 00000002 //压入参数param2
:00401084 6A01                    push 00000001 //压入参数param1
:00401086 E875FFFFFF              call 00401000 //调用func函数
//如果是“__cdecl”的话,将在这里恢复堆栈,“add esp, 0000000C”

聪明的读者看到这里,差不多就明白缓冲溢出的原理了。先来看下面的代码:

#include <stdio.h>
#include <string.h>

void __stdcall func()
{
char lpBuff[8]="\0";
strcat(lpBuff,"AAAAAAAAAAA");
return;
}

int main()
{
func();
return 0;
}

编译后执行一下回怎么样?哈,“"0x00414141"指令引用的"0x00000000"内存。该内存不能为"read"。”,“非法操作”喽!"41"就是"A"的16进制的ASCII码了,那明显就是strcat这句出的问题了。"lpBuff"的大小只有8字节,算进结尾的'\0',那strcat最多只能写入7个"A",但程序实际写入了11个"A"外加1个'\0'。再来看看上面那幅图,多出来的4个字节正好覆盖了RET的所在的内存空间,导致函数返回到一个错误的内存地址,执行了错误的指令。如果能精心构造这个字符串,使它分成三部分,前一部份仅仅是填充的无意义数据以达到溢出的目的,接着是一个覆盖RET的数据,紧接着是一段shellcode,那只要着个RET地址能指向这段shellcode的第一个指令,那函数返回时就能执行shellcode了。但是软件的不同版本和不同的运行环境都可能影响这段shellcode在内存中的位置,那么要构造这个RET是十分困难的。一般都在RET和shellcode之间填充大量的NOP指令,使得exploit有更强的通用性。


├―――――――┤<―低端内存区域
│    ……      │
├―――――――┤<―由exploit填入数据的开始
│              │
│    buffer    │<―填入无用的数据
│              │
├―――――――┤
│    RET      │<―指向shellcode,或NOP指令的范围
├―――――――┤
│    NOP      │
│    ……      │<―填入的NOP指令,是RET可指向的范围
│    NOP      │
├―――――――┤
│              │
│  shellcode  │
│              │
├―――――――┤<―由exploit填入数据的结束
│    ……      │
├―――――――┤<―高端内存区域


windows下的动态数据除了可存放在栈中,还可以存放在堆中。了解C++的朋友都知道,C++可以使用new关键字来动态分配内存。来看下面的代码:

#include <stdio.h>
#include <iostream.h>
#include <windows.h>

void func()
{
char *buffer=new char[128];
char bufflocal[128];
static char buffstatic[128];
printf("0x%08x\n",buffer);
printf("0x%08x\n",bufflocal);
printf("0x%08x\n",buffstatic);
}

void main()
{
func();
return;
}

程序执行结果为:

0x004107d0
0x0012ff04
0x004068c0

可以发现用new关键字分配的内存即不在栈中,也不在静态数据区。VC编译器是通过windows下的“堆(heap)”来实现new关键字的内存动态分配。在讲“堆”之前,先来了解一下和“堆”有关的几个API函数:

HeapAlloc  在堆中申请内存空间
HeapCreate  创建一个新的堆对象
HeapDestroy  销毁一个堆对象
HeapFree  释放申请的内存
HeapWalk  枚举堆对象的所有内存块
GetProcessHeap  取得进程的默认堆对象
GetProcessHeaps  取得进程所有的堆对象
LocalAlloc
GlobalAlloc

当进程初始化时,系统会自动为进程创建一个默认堆,这个堆默认所占内存的大小为1M。堆对象由系统进行管理,它在内存中以链式结构存在。通过下面的代码可以通过堆动态申请内存空间:

HANDLE hHeap=GetProcessHeap();
char *buff=HeapAlloc(hHeap,0,8);

其中hHeap是堆对象的句柄,buff是指向申请的内存空间的地址。那这个hHeap究竟是什么呢?它的值有什么意义吗?看看下面这段代码吧:

#pragma comment(linker,"/entry:main") //定义程序的入口
#include <windows.h>

_CRTIMP int (__cdecl *printf)(const char *, ...); //定义STL函数printf

void main()
{
HANDLE hHeap=GetProcessHeap();
char *buff=HeapAlloc(hHeap,0,0x10);
char *buff2=HeapAlloc(hHeap,0,0x10);
HMODULE hMsvcrt=LoadLibrary("msvcrt.dll");
printf=(void *)GetProcAddress(hMsvcrt,"printf");
printf("0x%08x\n",hHeap);
printf("0x%08x\n",buff);
printf("0x%08x\n\n",buff2);
printf("0x%08x\n",*(DWORD *)((BYTE *)hHeap+0x178));
}

执行结果为:

0x00130000
0x00133100
0x00133118

0x00133518

hHeap的值怎么和那个buff的值那么接近呢?其实hHeap这个句柄就是指向HEAP首部的地址,……


(暂时写导这里,以后接着写)

地主 发表时间: 04-01-28 22:15
回复: TGV_Mic [tgv]      登录
我晕翻~~~~

天书吗!      看不懂~

B1层 发表时间: 04-01-28 22:39
回复: tabris17 [tabris17]   论坛用户   登录
不会吧,我觉得只要会C语言,看懂不是很难啊

B2层 发表时间: 04-01-29 11:04
回复: NetDemon [netdemon]   ADMIN   登录
写完记得更新到文档里面

B3层 发表时间: 04-01-29 23:22
回复: hannyu [hannyu]   论坛用户   登录
引用:

├―――――――┤<―函数执行时的栈顶(ESP)、低端内存区域
│    ……      │
├―――――――┤
│    var 1    │
├―――――――┤
│    var 2    │
├―――――――┤
│    var 3    │
├―――――――┤
│    RET      │
├―――――――┤<―“__cdecl”函数返回后的栈顶(ESP)
│ parameter 1  │
├―――――――┤
│ parameter 2  │
├―――――――┤
│ parameter 3  │
├―――――――┤<―“__stdcall”函数返回后的栈顶(ESP)
│    ……      │
├―――――――┤<―栈底(基地址 EBP)、高端内存区域

为什么是VAR 1,VAR 2,VAR 3 而不是VAR 3,VAR 2,VAR 1
不好意思刚学完编译

B4层 发表时间: 04-01-30 14:45
回复: tabris17 [tabris17]   论坛用户   登录
根据这里的
printf("0x%08x\n",&var1);
printf("0x%08x\n",&var2);
printf("0x%08x\n\n",&var3);

的结果

0x0012ff68
0x0012ff6c
0x0012ff70

我猜想,VC先为本地变量分配内存空间,然后根据变量在代码中出现的先后来具体化内存地址的


B5层 发表时间: 04-01-30 15:48
回复: tabris17 [tabris17]   论坛用户   登录
也就是说,并不是根据变量声明的前后来决定它在栈中的地址。

以上仅是猜想,我等等证实一下

B6层 发表时间: 04-01-30 15:50
回复: tabris17 [tabris17]   论坛用户   登录
既然老大都表扬的,我一定努力写,但是在heap结构这里卡住了,网上找不到它具体的内存结构,只有一点点不是很详细的描述,这东西要靠flashsky的了,他对这有研究。

本来想自己跟踪这几个native api的,可是不会kd啊

B7层 发表时间: 04-01-30 15:55
回复: NetDemon [netdemon]   ADMIN   登录
,我对Windows底层不熟悉,帮不了你,真是惭愧

B8层 发表时间: 04-01-31 00:50
回复: hksking [hksking]   论坛用户   登录
一部分能看懂,一部分看不懂
大哥你写这些具体是干什么用的?是溢出的原理吗?
能解释的大众话些吗?

B9层 发表时间: 04-01-31 16:18

论坛: 黑客进阶

20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon

粤ICP备05087286号