[软件调试学习笔记]防止栈缓冲区溢出的基于Cookie的安全检查机制

Buffer Overrun定义

      buffer是程序用来存储数据的连续内存区域，一旦分配完成，其起始地址和大小便固定下来。程序运行过程中，如果使用了超出buffer的区域，那么就发生了buffer overflow（缓冲区溢出）或者buffer overrun(缓冲区越界）。如果该缓冲区分配在stack上，就称之为stack buffer overrun;如果分配在heap，就称为heap overflow。

      stack buffer overrun会冲毁thread自身及其父线程的栈信息，我们知道在当前stack frame中，EBP+4为函数返回地址，EBP+8为最后一个参数，EBP+C：倒数第二个参数...。如果EBP+4处的内容被写入一个非法地址，那么函数调用退出的时候就会跳转到一个非法地址，转而执行非法程序。这就是利用stack buffer overrun进行恶意攻击的基本原理。

      在vc6.0中，如果程序为debug 版本，by default会启用stack buffer overrun的检测。而在release版本中，则关闭了对其的检测。而在vc8以上版本编译其中，则采用了基于Cookie的stack buffer安全检查机制。

防止Buffer overrun的措施

      本文将介绍在VS8及以上版本编译器中采用Cookie机制来防止stack overrun的方法。

      首先简要介绍在Debug版本下的stack orverrun(VC8及以上）的检测机制：

1.VC8在紧邻栈指针的位置分配4个字节用于存放安全Cookie。安全Cookie就像一个安全护栏，用于保护其下的栈指针和函数返回地址，他位于局部变量和重要的栈帧信息（栈帧指针及函数返回地址）。这样，如果Cookie之上的局部变量发生溢出，在漫延到栈帧信息前会覆盖Cookie,因此检查Cookie的完整性便可以探测到可能危及栈信息的溢出情况。

2.在给每个局部变量分配空间时，除了补齐内存空间所需的零头部分，编译器还会给每个变量多分配8个字节，分别放置于变量的前后各4个字节，并将其初始化为0xcccccccc。这样，每个变量相当于有了前后2个屏障。一旦这2道屏障受损，则会产生中断（正是cc编码）。

 

基于Cookie的Stack Buffer安全检测

但是以上开销较大，通常只用于调试版本。为了在release version中也能检测出stack buffer overrun,防止程序因此而受到攻击，VS2005及以上支持了基于Cookie的安全检查机制。

基于Cookie的安全检查机制原理如下：

1.编译器在编译可能发生stack buffer orverrun的函数时，会定义一个特别的局部变量，该局部变量被分配在栈帧中所有其他局部变量和栈帧与函数返回之间，这个变量专门用来保存Cookie,我们将其称为Cookie变量。Cookie变量是一个32位的整数，他的值从全局变量_security_cookie中得到。（该全局变量是定义在C运行库中，我们可以看到默认安装路径下的源代码：c:\program...\visu..8\VC\crt\src\gs_cookie.c可以看到其定义：

#define DEFAULT_SECURITY_COOKIE 0xBB40E64E

DECLSPEC_SELECTRANY UINT_PRT  _security_cookie=DEFAULT_SECURITY_COOKIE;

......

(可见_security_cookie变量赋了默认值）。在VC8编译器启动的启动函数中（如WinMainCRTStartup)还会调用_security_init_cookie函数对该变量进行正式的初始化。在crt0.c中，可以看到启动函数的源码如下：

int _tmainCRTStartup(void)

{

_security_init_cookie();//初始化cookie

......

}

因为是在启动函数中初始化全局变量_security_cookie，所以在该process以后的运行过程中，Cookie值是保持不变的。

编译器在为一个函数插入安全Cookie时，他还会与当时的EBP做一次xor,然后将其保存到Cookie变量中，这些指令通常出现在函数的序言(prolog)之后，其典型过程如下：

push ebp

mov ebp,esp

sub esp,0x18//为局部变量分配栈空间

mov eax,[applica!_security_Cookie];//将_security_cookie存入eax

xor eax,ebp;//与ebp xor

mov [ebp-0x4],eax;//存入cookie变量

......

与EBP xor的两个好处：

1. 提高安全cookie的随机性，尽可能使每个函数的_security_cookie都不同。

2.检查EBP值是否被破坏。因为在检查Cookie变量时，会再与EBP再进行一次xor,如果EBP没有发生变化，那么两次xor后Cookie变量的值就应该成全局安全变量_security_cookie的值。

其典型的代码如下：

mov ecx, [ebp-0x4];

pop edi;

xor ecx,ebp;//再xor 一次

pop esi;

call applica!_security_check_cookie(0x***);//开始检查_security_cookie

mov esp,ebp

pop ebp

ret;

而_security_check_cookie是一个只含有4条汇编代码的函数，在crt\intel\secchk.c 中对函数定义如下：

void _security_check_cookie(UINT _PTR cookie)

{

_asm

      {

      cmp ecx,_security_cookie;

      jne failure;

      rep ret;

failure:

      jmp _report_gsfailure;

      }

}

 2.安全检查失败处理

      因为stack buffer overrun可能覆盖掉函数的本来返回地址，使函数返回到未知的地方，从而使程序出现不可预期的后果。因此这种exception被看作是fatal error,一旦遇到这种错误，程序就会马上终止。但为了debug,在terminate process之前，_report_gsfailure函数会记录下错误发生时的重要信息，并提供JIT调试机会。

[本文摘录于《软件调试》张银奎]