對(duì)于為何要保護(hù)堆棧，請(qǐng)以“緩沖區(qū)溢出”，“堆?！睘殛P(guān)鍵詞google一下，本文不再贅述。只要你的程序要調(diào)用函數(shù)，那么就要使用堆棧，不進(jìn)行函數(shù)調(diào)用的程序已經(jīng)很少了吧，難道你能忍受通篇的jmp，jne.。。等等手工作坊的方法嗎？在linux和windows 上，保護(hù)棧的方式最重要的莫過(guò)于兩種， 一個(gè)是使用堆棧安全cookie；另一個(gè)是使棧不可執(zhí)行。

　　上面提到的兩種方式中，安全cookie提供了更大的保護(hù)，而不可執(zhí)行棧在遇到溢出代碼放到堆的時(shí)候就很難奏效了，先看看安全cookie是怎么一回事。 在傳統(tǒng)的函數(shù)調(diào)用時(shí)，棧自下而上是：參數(shù)--》返回地址--》老的棧底指針--》局部變量--》。。.如果局部變量發(fā)生向下溢 出，覆蓋了函數(shù)的返回地址，那么程序一點(diǎn)脾氣也沒(méi)有，乖乖聽(tīng)任你的擺布，但是這種錯(cuò)誤的行為是在被調(diào)函數(shù)返回的時(shí)候發(fā)生的，如果被調(diào)函數(shù)有漏洞，那么我們希望的是在它返回的時(shí)候，也就是出了它的控制范圍的時(shí)候主動(dòng)地報(bào)出錯(cuò)誤，而不是將錯(cuò)就錯(cuò)，那么就需要一種有效的方式來(lái)檢測(cè)到錯(cuò)誤的發(fā)生，于是安全 cookie就臨危受命了，它實(shí)際上就是在參數(shù)--》返回地址--》老的棧底指針--》局部變量--》。。.中間插入了一個(gè) cookie，使得這個(gè)結(jié)構(gòu)變?yōu)榱藚?shù)--》返回地址--》老的棧底指針--》cookie--》局部變量--》。。.這 個(gè)cookie是每個(gè)程序映像都有的一個(gè)數(shù)值，最好就是一個(gè)隨機(jī)值，當(dāng)函數(shù)調(diào)用的時(shí)候，編譯器自動(dòng)插入（編譯的時(shí)候編譯器知道何時(shí)進(jìn)行函數(shù)調(diào)用，比如 call）一個(gè)cookie，這個(gè)cookie在程序啟動(dòng)的時(shí)候被初始化為隨機(jī)值（如果不是隨機(jī)值，我們考慮最極端的情況，比如就是1，那么攻擊者就知道 把kookie的位置覆蓋為1就不會(huì)導(dǎo)致cookie 檢查失敗了），當(dāng)程序返回的時(shí)候系統(tǒng)會(huì)檢查堆棧的cookie和程序的cookie是否一致，如果不 一致，那么就報(bào)錯(cuò)。

　　以上的方式很不錯(cuò)嗎？考慮一下以下的問(wèn)題：如果攻擊者知道程序的cookie所存放的位置，那么他就會(huì)知道cookie的值，于是他就知道應(yīng)該將堆棧中 cookie位置的值覆蓋成什么，即使你將cookie的存放位置設(shè)為不可讀也不好，因?yàn)楣粽呖偰芡ㄟ^(guò)各種淫亂的手段達(dá)到目的，試問(wèn)你是保護(hù) cookie函數(shù)保護(hù)函數(shù)返回值？另外一個(gè)問(wèn)題：當(dāng)cookie檢查失敗，該怎么辦？就算 cookie檢查失敗，緩沖區(qū)確實(shí)溢出，但是此時(shí)操作系統(tǒng)內(nèi)核并 不知道發(fā)生的一切（前提是只要?jiǎng)e溢出到內(nèi)核空間），于是想讓系統(tǒng)在檢查失敗時(shí)就自動(dòng)陷入內(nèi)核是不可能的，一切必須手動(dòng)進(jìn)行，在用戶空間進(jìn)行，如果想讓內(nèi)核幫忙處理，就要手動(dòng)進(jìn)行陷入（x86種int指令），如果不需要內(nèi)核處理就在用戶空間了斷，不管哪種方式，都要在檢查失敗后跳到一段代碼，我們姑且把它叫做異常處理代碼，那么問(wèn)題來(lái)了，如果攻擊者將這段異常處理代碼攻擊了怎么辦，這不成了個(gè)怪圈了嗎？是的，這是個(gè)怪圈，緩沖區(qū)溢出錯(cuò)誤既然發(fā)生，你就誰(shuí)也別 怪，錯(cuò)就錯(cuò)在你的代碼寫(xiě)的不嚴(yán)密有漏洞，指望緩沖區(qū)溢出檢查機(jī)制無(wú)論怎樣結(jié)果都是不可信的，記住，計(jì)算機(jī)系統(tǒng)中只有一種可信的軟件，就是操作系統(tǒng)內(nèi)核（存在內(nèi)核的前提下，當(dāng)然不包括裸奔的單片機(jī)），而用戶空間的緩沖區(qū)溢出又沒(méi)有嚴(yán)重到內(nèi)核必須接管的地步（它可沒(méi)有缺頁(yè)異常嚴(yán)重），既然用戶空間的任何機(jī)制都 不可信，那么你還指望所謂嚴(yán)密的緩沖區(qū)溢出檢查機(jī)制嗎？