Movimiento de memoria vigilada La herramienta de movimiento de memoria vigilada es útil para estudiar desbordamientos de tampón y atraparlos junto con una imagen de pila 'buena'.
Descargar ahora

Movimiento de memoria vigilada Clasificación y resumen

Movimiento de memoria vigilada Etiquetas

Muevete memoria desbordamiento de búfer biblioteca GMM Intercepción de llamadas Guardado

Movimiento de memoria vigilada Descripción

La herramienta de movimiento de memoria vigilada es útil para estudiar desbordamientos de tampón y atraparlos junto con una imagen de pila 'buena'. El proyecto Guarded Memory Move obtiene a mano cuando tiene que estudiar desbordamientos de búfer y debe cogerlos junto con una imagen de pila "buena". Cuando se ha explotado un desbordamiento de pila, la traza de retroceso ya se ha ido junto con una buena información sobre los parámetros y las variables locales, que son de vital importancia al tratar de entender cómo el atacante está tratando de resolver la exploit. La biblioteca GMM utiliza una intercepción de llamadas de la función dinámica para capturar las funciones más comunes que utilizan los atacantes para explotar buffers de pila. La biblioteca GMM utiliza la capacidad LD_PRELOAD y ofrece dos servicios al usuario. En primer lugar, evita el desbordamiento de tampón para permitir que el atacante ejecute el código de concha en su máquina. En caso de que se detecte una explotación, se guarda el contenido de la pila y se activa una falla de segmentación. El volcado principal resultante tendrá toda la información necesaria para depurar la explotación y solucionará el software. Internamente, la biblioteca se inserta entre la aplicación y la biblioteca GLIBC e las funciones de intercepción que podrían conducir a las hazañas de desbordamiento de búfer. Antes de llamar a la función del núcleo de Glibc, la capa GMM guarda la parte del marco de la pila sobre la persona que llama a una ubicación temporal en su marco. También almacena las tres direcciones de devolución anteriores en su almacenamiento local antes de llamar a la función Núcleo de Glibc. Cuando se devuelve la función central, el código GMM vuelve a muestras de las direcciones de devolución grabadas anteriormente y, si difieren, restaura el marco de la pila previamente guardado y emite una falla de segmentación. Esto con un marco de pila limpia, de modo que se puede inspeccionar con un depurador. Mientras que otras soluciones existen para detectar hazañas de desbordamiento de tampón, como, por ejemplo, StackGuard y StackShield, los difieren de GMM de muchas maneras. Viven como parches de GCC y requieren que reconstruya su solicitud para usar sus funcionalidades. El bien de este enfoque es que cada función está protegida contra los desbordamientos de tampón. El malo de esta solución es que cada función está protegida contra los desbordamientos de tampón. Es decir, la regresión de desempeño en toda la solicitud, incluso si este no es realmente un problema enorme cuando la caza de tampón se desborda. Otra solución similar a GMM es Libsafe, pero no guarda y restaura el marco de la pila haciendo que sea inutilizable para la depuración. Pero veamos cómo GMM difiere de las soluciones mencionadas anteriormente. En primer lugar, GMM funciona en todas partes, hay marcos de pila y el dúo GCC y GLIBC. Eso significa que no se limita a I386 solamente. Y ahora la verdadera razón de la existencia de GMM. Lo que está nuevo en esta versión: · __builtin_return_adn_address y __builtin_frame_address parece devolver la basura en lugar de nulo en el último marco. Esta versión soluciona el problema.

Movimiento de memoria vigilada Software relacionado