带有堆栈保护和缓冲区溢出的问题

根据我对生成的汇编代码的简要阅读（在64位Ubuntu上使用gcc 4.4.5），以下是我的理解：

栈的大小以16字节为增量增长，包括canary在内的canary是一个双字（8个字节）。canary被放置在栈帧的最后。为了同时满足这三个条件，gcc可能需要在自动变量和canary之间插入填充。

由于在您的代码中Buf长度为16字节，gcc在Buf和canary之间放置了8字节的填充（以使栈帧的大小成为16字节的倍数）。这就解释了为什么您可以输入多达24个字符而不触发堆栈破坏检测。

如果我将Buf更改为8个字节长，则不再需要任何填充，并且输入9个字符将触发保护：

#include <stdio.h>

int main( )
{ 
    char Buf[8];
    printf("Digite o seu nome: ");
    gets(Buf);
    printf("%s",Buf);
    return 0;
 }

aix@aix:~$ ./a.out 
Digite o seu nome: AAAAAAAA
AAAAAAAA

aix@aix:~$ ./a.out 
Digite o seu nome: AAAAAAAAA
*** stack smashing detected ***: ./a.out terminated

显然，这取决于编译器、硬件平台、编译器标志等。

不用说，人们不能指望这种机制是万无一失的。

如果您想进一步尝试，请尝试使用不同的缓冲区大小和有/没有 -fno-stack-protector 编译您的代码。如果您使用 -S 生成汇编代码，您将能够看到如何在调整设置时生成的代码发生变化。

编译器不能保证数据在堆栈上的组织方式。缓冲区buf[]可能会被分配到关键数据（如canary、旧堆栈指针和返回地址）旁边，也可能在它们之间有一些额外的空间。在这种情况下，看起来可能有一些填充物。

缓冲区的实际大小可能比您指定的大小要大，或者除了缓冲区之外还有更多的堆栈。当越过缓冲区边界时，您要么写入缓冲区中额外的内存，要么覆盖堆栈的其他内容。这不好，因为它可能会破坏一些本地变量，但它还没有覆盖返回地址。

只有当您写入超出分配的本地堆栈帧并覆盖当前执行的函数的返回地址时，才会发生糟糕的事情。如果您很幸运，程序只会崩溃。但确切会发生什么是难以预见的。

目前大多数编译器都包含堆栈保护机制，其中可能包括ProPolice http://en.wikipedia.org/wiki/Buffer_overflow_protection#GCC_Stack-Smashing_Protector_.28ProPolice.29。