| Bewachter Speicherbewegung Gujig-Memory-Move-Tool ist nützlich, um Pufferüberläufe zu untersuchen und zusammen mit einem "guten" Stapelbild zu fangen. |
Jetzt downloaden |
Bewachter Speicherbewegung Ranking & Zusammenfassung
- Name des Herausgebers:
- Davide Libenzi
- Website des Verlags:
- http://www.xmailserver.org/davide.html
Bewachter Speicherbewegung Stichworte
Bewachter Speicherbewegung Beschreibung
Das bewachte Memory-Move-Tool ist nützlich, um Pufferüberläufe zu untersuchen und zusammen mit einem "guten" Stapelbild zu fangen. Das bewachte Memory Move-Projekt wird praktisch, wenn Sie Pufferüberläufe studieren müssen, und Sie müssen sie zusammen mit einem "guten" Stapelbild fangen. Wenn ein Stapelüberlauf ausgenutzt wurde, ist die Rückenverfolgung bereits mit guten Informationen zu den Parametern und lokalen Variablen gegangen, die von entscheidender Bedeutung sind, wenn Sie versuchen, zu verstehen, wie der Angreifer versucht, den Exploit auszuarbeiten. Die GMM-Bibliothek verwendet dynamische Funktionsprüfungen, um die häufigsten Funktionen zu fangen, die von Angreifern verwendet werden, um Stapelpuffer auszunutzen. Die GMM-Bibliothek verwendet die Funktion ld_preload und bietet dem Benutzer zwei Dienste an. Zunächst wird der Pufferüberlauf vermieden, damit der Angreifer den Angreifer den Shell-Code auf Ihrem Computer ausführen kann. Zweitens, wenn ein Exploit erkannt wird, wird der Stapelinhalt gespeichert und ein Segmentierungsfehler ausgelöst. Der resultierende Kernkabel enthält dann alle erforderlichen Informationen, um den Exploit zu debuggen und die Software zu fixieren. Intern fügt sich die Bibliothek zwischen der Anwendung und der Glibc-Bibliothek ein und font Funktionen, die zu Pufferüberlauf-Exploits führen können. Bevor Sie die Glibc-Kernfunktion anrufen, spart die GMM-Ebene einen Teil des Stapelrahmens über dem Anrufer an einen temporären Speicherort in seinem Rahmen. Es speichert auch die vorherigen drei Rücksendeadressen in ihrem lokalen Speicher, bevor Sie die Glibc-Kernfunktion anrufen. Wenn die Kernfunktion zurückgibt, wird der GMM-Code erneut die zuvor aufgezeichneten Rücksendeadressen abtastet und, wenn sie sich unterscheiden, den zuvor gespeicherten Stapelrahmen wiederherstellen und einen Segmentierungsfehler ergeben. Dies mit einem sauberen Stapelrahmen, so dass er mit einem Debugger inspiziert werden kann. Während andere Lösungen zur Erkennung von Pufferüberlauf-Exploits, wie zum Beispiel Stackguard und Stackshield, sind, unterscheiden sich diese in vielerlei Hinsicht von GMM. Sie leben als GCC-Patches und verlangen, dass Sie Ihre Anwendung wieder aufbauen, um ihre Funktionalitäten zu nutzen. Das Gute dieses Ansatzes ist, dass jede einzelne Funktion vor Pufferüberläufen geschützt ist. Das schlechte dieser Lösung ist, dass jede einzelne Funktion vor Pufferüberläufen geschützt ist. Das heißt, die Leistungsregression auf der gesamten Anwendung, auch wenn dies beim Jagd nach Pufferüberläufen nicht wirklich ein großes Problem ist. Eine andere Lösung ähnlich GMM ist Libbafe, aber er speichert den Stapelrahmen nicht, indem er es für das Debuggen unbrauchbar macht. Aber lass uns sehen, wie GMM sich von den oben genannten Lösungen unterscheidet. Zunächst funktioniert GMM überall dort, wo sich Stapelrahmen und das GCC- und Glibc-Duo befinden. Das bedeutet, dass es nicht nur auf I386 beschränkt ist. Und jetzt der eigentliche Grund für die GMM-Existenz Diese Version fixiert das Problem.
Bewachter Speicherbewegung Zugehörige Software