堆栈溢出检测与堆溢出检测

Question

堆栈溢出检测与堆溢出检测

7

在像Linux这样的需求分页系统中，页面大小可能为4k（根据我所看到的）。为了确保保护，它会检查堆栈或堆大小是否超过每个给定页面的数量。当我创建两个变量时，这种保护机制被启用。

char *s = (char *) malloc(100);   
char sa[100];

在for循环中，我可以写大约4000次s[i] = 'c';，然后它就会出现内存错误，而对于sa[i] = 'c';，在数组大小之外的任何地方都会出现segmentation fault或stack smashing错误。我可以理解第一种情况下会出现页错误，并且它会发现没有更多的页面被分配到堆中，因此会发生内存违规。但是第二种情况会发生什么呢？gcc是否在运行时为所有预分配变量进行检查？
编辑：我在下面发布整个代码。

int main(int argc,char* argv[]){
char *s = (char *) malloc(20);
char sa[400] = {0};
int i ,count;
printf(" enter the number of chars to write: ");
scanf("%d",&count);
for (i=0;i<count;i++){
printf("%d\n",i);
sa[i] = 'a';
//s[i] = 'a';
}
free(s);

}

- dasman

从语言角度来看，这两种情况完全未定义。为实现特定问题添加了一个“gcc”标签。 - Bo Persson

请注意，并不能保证您只能使用堆栈分配的变量来编写数组的长度。在我的 x86_64 机器上，我可以写到 2880（其中 &sa[i] == 0x7ffffffff000，达到了新的页面）。 - user786653

我假设我们会忽略你为什么要写入已经超出分配范围的数组这个问题，对吧？ - Christian Semrau

@christian-semrau 是的... - dasman

你说的堆栈增长是什么意思？如果是for循环，那么每次循环时堆栈都会被重置到相同的位置。或者这个for循环包含了递归调用吗？ - QuentinUK

显示剩余2条评论

1个回答

网页内容由stack overflow 提供, 点击上面的

可以查看英文原文，
原文链接

- Hans Passant · Accepted Answer

在许多32位操作系统上，堆栈向下增长。您只使用正索引进入数组，因此取决于您的函数调用嵌套深度。当您从数组中索引时，将首先覆盖金丝雀。因此，堆栈溢出错误首先发生。接下来，您将开始覆盖函数参数和返回地址。如果没有金丝雀，那么函数返回会跳转到永远不存在的地方，通常会产生段错误。不总是这样，它可能会意外地落在有效代码上，这是堆栈缓冲区溢出攻击背后的逻辑。

随着继续进行，您最终会写入未分配的页面之上的堆栈顶部。然后就会产生段错误。在一个具有少数嵌套调用的小型测试程序中，这很快发生，大约需要几千字节左右。

还可以尝试使用负偏移量。这可以继续进行一段时间，否则不会造成任何问题，因为您正在写入未分配的堆栈空间。当您写入超过分配的堆栈大小时，通常为1兆字节，就会产生段错误。在Windows上，您将触发堆栈保护页，生成一个异常，该站点以此命名。