沖區溢位保護(1)
談了存取保護之後,今天我們再聊聊緩衝區溢位保護。
官方的解析是這樣的:
引用:
緩衝區溢位利用是一種攻擊技術,它利用應用程式或工作中的軟體設計缺陷強制它們在電腦中執行程式碼。應用程式具有大小固定的緩衝區,用於儲存於資料。如果攻擊者向其中一個緩衝區傳送的資料或程式碼太多,則該緩衝區會溢位。然後,電腦會執行作為程序溢位的程式碼。由於程式碼的執行發生在應用程式的受保護部分,而這部分內容通常需要具有較高的或管理員層次的權限才能訪問,因此入侵者可以獲得執行指令的權限(通常他們沒有這種訪問權限)。攻擊者可以利用這一缺陷在電腦上執行自訂黑客攻擊程式碼,並危及電腦的安全和資料完整性。
緩衝區溢位保護用於防止利用緩衝區溢位在電腦上執行任意程式碼。它會監視用戶模式 api 使用,並識別緩衝區溢位使用。
我們再來看看一個例子,不知道大家是否遇到過這樣的情況,你在一邊用金山詞霸2005的取詞功能,一方面正在編輯一份word我的文件。當你滿意的點擊儲存按鈕,在儲存視窗輸入我的文件名稱時,發現word反應異常,甚至彈出個錯誤提示項來(提示項內容忘了),怎麼弄也無法儲存。你是否抱怨word實在太垃圾了?實際上這不能全怪了word,主要「行兇」者是在一邊偷笑的金山詞霸。
金山詞霸2005有一個緩衝溢位的漏洞,而當你使用mcafee作為你堅實的防護後盾時,它就會提示你該實行些什麼了!實際上,這樣的例子一般電腦用戶可能只發生在金山詞霸身上,但其實很多不成熟的軟體也會導致這個問題。但導致系統癱瘓的現象還是很少的,所以不至於棄而不用。
我們以金山詞霸的bug作為例子,說說解決辦法。
如下圖所顯示,我們所需要的是這些訊息「explorer.exe::GetProcAddress」。
引用:
1、開啟 VirusScan 控制台,雙按控制台中的「緩衝區溢位保護」,進入內容頁,並按下「增加」按鈕。
2、在工作名稱處輸入「explorer.exe」。
3、在「API 名稱」文本項中,輸入「GetProcAddress」。
4、按下「確定」返回到「緩衝區溢位保護」選擇項。
如果大家有留意,剛才的緩衝區溢位保護內容視窗裡,有個設定實施模式的,只有選項保護模式才真正對緩衝溢位現象進行保護,但會導致程序異常結束。所以一般使用警告模式,雖然沒有防護功能,但可以知道哪些程序會導致溢位,可以在日後使用時多加注意(資料的及時儲存,很重要哦!)。
上傳的圖像