黑客常用的系統(tǒng)攻擊方法木馬精品課件

1、什么是木馬（Trojan） 木馬（Trojan）這個名字來源于古希臘傳說(荷馬史詩中木馬計的故事,Trojan一詞的本意是特洛伊的,即代指特洛伊木馬,也就是木馬計的故事)。什么是木馬（Trojan） 它是指通過一段特定的程序（木馬程序）來控制另一臺計算機(jī)。木馬通常有兩個可執(zhí)行程序：一個是客戶端，即控制端，另一個是服務(wù)端，即被控制端。植入被種者電腦的是“服務(wù)器”部分，而所謂的“黑客”正是利用“控制器”進(jìn)入運(yùn)行了“服務(wù)器”的電腦。 據(jù)最新一份市場調(diào)查報告，在8月到9月份中，全球范圍惡意軟件的數(shù)量增長了15%。 該調(diào)查報告出自Panda安全公司，據(jù)悉全球范圍平均被惡意廣告攻擊過的電腦比率達(dá)到了59%

2、，創(chuàng)歷史最高點(diǎn)。在所有29個國家和地區(qū)中，美國排名第九，比率為58%。與此同時，臺灣排名第一，感染率為69%，與此同時挪威只有39%，位列最后。數(shù)據(jù)表明，美國惡意軟件中，木馬和惡意廣告為最主要的兩個類型。 參考：中國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報告 P12木馬與病毒、遠(yuǎn)程控制的區(qū)別病毒程序是以自發(fā)性的敗壞為目的木馬程序是依照黑客的命令來運(yùn)作，主要目的是偷取文件、機(jī)密數(shù)據(jù)、個人隱私等行為。木馬工作原理和一般的遠(yuǎn)程控制軟件相似，區(qū)別在于其隱蔽、危害性、非授權(quán)性。木馬的工作原理實(shí)際就是一個C/S模式的程序（里應(yīng)外合）操作系統(tǒng)被植入木馬的PC（server程序）TCP/IP協(xié)議端口控制木馬的PC（client程序）

3、操作系統(tǒng)TCP/IP協(xié)議端口控制端端口處于監(jiān)聽狀態(tài)木馬的分類1.遠(yuǎn)程訪問型2.鍵盤記錄型3.密碼發(fā)送型4.破壞型5.代理型6.FTP型木馬的種類網(wǎng)絡(luò)游戲木馬 網(wǎng)絡(luò)游戲木馬通常采用記錄用戶鍵盤輸入等方法獲取用戶的密碼和帳號。竊取到的信息一般通過發(fā)送電子郵件或向遠(yuǎn)程腳本程序提交的方式發(fā)送給木馬作者。 網(wǎng)絡(luò)游戲木馬的種類和數(shù)量，在國產(chǎn)木馬病毒中都首屈一指。大量的木馬生成器和黑客網(wǎng)站的公開銷售也是網(wǎng)游木馬泛濫的原因之一。 木馬的種類網(wǎng)銀木馬 網(wǎng)銀木馬是針對網(wǎng)上交易系統(tǒng)編寫的木馬病毒，其目的是盜取用戶的卡號、密碼，甚至安全證書。此類木馬種類數(shù)量雖然比不上網(wǎng)游木馬，但它的危害更加直接，受害用戶的損失更加慘

4、重。 網(wǎng)銀木馬通常針對性較強(qiáng)，木馬作者可能首先對某銀行的網(wǎng)上交易系統(tǒng)進(jìn)行仔細(xì)分析，然后針對安全薄弱環(huán)節(jié)編寫病毒程序。木馬的種類網(wǎng)銀木馬 如2019年的“網(wǎng)銀大盜”病毒，在用戶進(jìn)入工行網(wǎng)銀登錄頁面時，會自動把頁面換成安全性能較差、但依然能夠運(yùn)轉(zhuǎn)的老版頁面，然后記錄用戶在此頁面上填寫的卡號和密碼；“網(wǎng)銀大盜3”利用招行網(wǎng)銀專業(yè)版的備份安全證書功能，可以盜取安全證書；2019年的“新網(wǎng)銀大盜”，采用API Hook等技術(shù)干擾網(wǎng)銀登錄安全控件的運(yùn)行。 木馬的種類即時通訊軟件木馬 發(fā)送消息型。通過即時通訊軟件自動發(fā)送含有惡意網(wǎng)址的消息。此類病毒常用技術(shù)是搜索聊天窗口，進(jìn)而控制該窗口自動發(fā)送文本內(nèi)容。發(fā)送

5、消息型木馬常常充當(dāng)網(wǎng)游木馬的廣告，如“武漢男生2019”木馬，可以通過MSN、QQ、UC等多種聊天軟件發(fā)送帶毒網(wǎng)址，其主要功能是盜取傳奇游戲的帳號和密碼。 木馬的種類盜號型。主要目標(biāo)在于即時通訊軟件的登錄帳號和密碼。工作原理和網(wǎng)游木馬類似。盜得他人帳號后，可能偷窺聊天記錄等隱私內(nèi)容，或?qū)ぬ栙u掉。 傳播自身型。2019年初，“MSN性感雞”等通過MSN傳播的蠕蟲泛濫了一陣之后，MSN推出新版本，禁止用戶傳送可執(zhí)行文件。2019年上半年，“QQ龜”和“QQ愛蟲”這兩個國產(chǎn)病毒通過QQ聊天軟件發(fā)送自身進(jìn)行傳播，感染用戶數(shù)量極大，在江民公司統(tǒng)計的2019年上半年十大病毒排行榜上分列第一和第四名。木馬

6、的種類網(wǎng)頁點(diǎn)擊類木馬 網(wǎng)頁點(diǎn)擊類木馬會惡意模擬用戶點(diǎn)擊廣告等動作，在短時間內(nèi)可以產(chǎn)生數(shù)以萬計的點(diǎn)擊量。病毒作者的編寫目的一般是為了賺取高額的廣告推廣費(fèi)用。此類病毒的技術(shù)簡單，一般只是向服務(wù)器發(fā)送HTTP GET請求。 下載類木馬這種木馬程序的體積一般很小，其功能是從網(wǎng)絡(luò)上下載其他病毒程序或安裝廣告軟件。由于體積很小，下載類木馬更容易傳播，傳播速度也更快。通常功能強(qiáng)大、體積也很大的后門類病毒，如“灰鴿子”、“黑洞”等，傳播時都單獨(dú)編寫一個小巧的下載型木馬，用戶中毒后會把后門主程序下載到本機(jī)運(yùn)行。 木馬的種類代理類木馬 用戶感染代理類木馬后，會在本機(jī)開啟HTTP、SOCKS等代理服務(wù)功能。黑客把受

7、感染計算機(jī)作為跳板，以被感染用戶的身份進(jìn)行黑客活動，達(dá)到隱藏自己的目的。 木馬實(shí)施攻擊的步驟1.配置木馬木馬偽裝：采用各種手段隱藏自己信息反饋：對信息反饋的方式或地址進(jìn)行設(shè)置2. 傳播木馬通過emial附件的形式通過軟件下載的形式木馬實(shí)施攻擊的步驟3.啟動木馬被動地等待木馬或者是捆綁木馬的程序被執(zhí)行自動拷貝到windows系統(tǒng)文件下中，并修改系統(tǒng)注冊表啟動項4.建立連接服務(wù)器端安裝了木馬雙方均在線5.遠(yuǎn)程控制最終的目的課堂演練一：冰河木馬的使用服務(wù)器端程序：G-server.exe客戶端程序： G-client.exe進(jìn)行服務(wù)器配置遠(yuǎn)程控制如何清除？課堂演練二：灰鴿子的使用反彈端口類型的木馬服

8、務(wù)器的配置服務(wù)器的工作方式遠(yuǎn)程控制如何清除？反彈端口類型的木馬普通木馬反彈端口類型的木馬 請求連接響應(yīng)請求Client 攻擊者Server被攻擊者請求連接響應(yīng)請求Client 攻擊者Server被攻擊者一般木馬的工作過程其過程可用 VB 實(shí)現(xiàn)如下：(Horse_Server 和Horse_Client 均為 Winsock控件) ：服務(wù)端：Horse_Server. LocalPort = 31339 (打開一個特定的網(wǎng)絡(luò)端口)Horse_Server.Listen(監(jiān)聽客戶端的連接)客戶端Horse_Client . RemoteHost = RemotelP (設(shè)遠(yuǎn)端地址為服務(wù)器端IP地址

9、)Horse_Client . RemotePort = 31339(設(shè)遠(yuǎn)程端口為服務(wù)端程序起動的特定端口)Horsec_Client . Connect (連接服務(wù)端計算機(jī))一旦服務(wù)端接到客戶端的連接請求 ConnectionRequest ，就接受連接?？蛻魴C(jī)端用 Horse_Client . SendData 發(fā)送命令 ，而服務(wù)器在 Horse_Server_DataArrive事件中接受并執(zhí)行命令(如：修改注冊表、刪除文件等) 。如果客戶斷開連接 ，則服務(wù)端連接并重新監(jiān)聽端口：反彈端口型木馬的工作原理一般木馬服務(wù)端運(yùn)行后，會用郵件、ICQ 等方式發(fā)出信息通知入侵者，同時在本機(jī)打開一個網(wǎng)

10、絡(luò)端口監(jiān)聽客戶端的連接(時刻等待著客戶端的連接) 。目前，由于大部分防火墻對于連入的連接往往會進(jìn)行非常嚴(yán)格的過濾，能對非法端口的IP包進(jìn)行有效的過濾，非法連接被攔在墻外，客戶端主動連接的木馬，現(xiàn)已很難穿過防火墻。與一般的軟件相反，反彈端口型木馬是把客戶端的信息存于有固定IP的第三方FTP服務(wù)器上，服務(wù)端從 FTP 服務(wù)器上取得信息后計算出客戶端的IP和端口，然后主動連接客戶端。另外，網(wǎng)絡(luò)神偷的服務(wù)端與客戶端在進(jìn)行通信 ，是用合法端口，把數(shù)據(jù)包含在像HTTP或FTP的報文中，這就是黑客們所謂的“隧道”技術(shù)。 反彈端口型木馬的工作原理服務(wù)端：Horse_Server. RemoteHost = R

11、emotelP(設(shè)遠(yuǎn)端地址為從指定FTP服務(wù)器取得的客戶端IP地址)Horse_Server. RemotePort = RemotePort (設(shè)遠(yuǎn)程端口為客戶端程序起動的特定端口，如：80、21等)Horse_Server. Connect (連接客戶端計算機(jī))客戶端：Horse_Client . LocalPort = LocalPort (打開一個特定的網(wǎng)絡(luò)端口，如：80、21等)一旦客戶端接到服務(wù)端的連接請求 ConnectionRequest ，就接受連接。Horse_Client .Listen(監(jiān)聽客戶端的連接)客戶機(jī)端用Horse_Client . SendData 發(fā)送命令

12、，而服務(wù)器在 Horse_Server DataArrive事件中接受并執(zhí)行命令。如果客戶斷開連接，則服務(wù)器端關(guān)閉連接：查殺方法(1)關(guān)掉所有的網(wǎng)絡(luò)連接程序(如：IE瀏覽器、FTP服務(wù)等) ，轉(zhuǎn)入命令行狀態(tài)用netstat -a命令，netstat命令的功能是顯示網(wǎng)絡(luò)連接、路由表和網(wǎng)絡(luò)接口信息，可以讓用戶得知目前都有哪些網(wǎng)絡(luò)連接正在運(yùn)行。(2)用網(wǎng)絡(luò)監(jiān)視軟件，如：sniffer、IParmor 等查一下自己懷疑的端口是否被偵聽。如在(1)中發(fā)現(xiàn)類似TCP local address ：1026 foreign address ：HTTP ESTABLISHED(或者是類似TCP local a

13、ddress ：1045 foreign address：FTPESTABLISHED)的情況或在(2)中發(fā)現(xiàn)懷疑的端口被偵聽，有可能中了此類木馬。目前發(fā)現(xiàn)的反彈端口型木馬有網(wǎng)絡(luò)神偷和灰鴿子兩種 C:netstat -an Active Connections Proto Local Address Foreign Address State TCP :80 :0 LISTENING TCP :21 :0 LISTENING TCP :7626 :0 LISTENING UDP :445 :0 UDP :1046 :0 UDP :1047 :0 這臺機(jī)器的7626端口已經(jīng)開放，而且正在監(jiān)聽等待

14、連接，像這樣的情況極有可能是已經(jīng)感染了木馬。這時就需要先斷開網(wǎng)絡(luò)，然后立即用殺毒軟件查殺 Netstat命令用法 Netstat用于顯示與IP、TCP、UDP和ICMP協(xié)議相關(guān)的統(tǒng)計數(shù)據(jù)，一用于檢驗本機(jī)各端口的網(wǎng)絡(luò)連接情況。 netstat -s本選項能夠按照各個協(xié)議分別顯示其統(tǒng)計數(shù)據(jù)。如果你的應(yīng)用程序（如Web瀏覽器）運(yùn)行速度比較慢，或者不能顯示W(wǎng)eb頁之類的數(shù)據(jù)，那么你就可以 用本選項來查看一下所顯示的信息。你需要仔細(xì)查看統(tǒng)計數(shù)據(jù)的各行，找到出錯的關(guān)鍵字，進(jìn)而確定問題所在。 Netstat命令用法 netstat -e本選項用于顯示關(guān)于以太網(wǎng)的統(tǒng)計數(shù)據(jù)。它列出的項目包括傳送的數(shù)據(jù)報的總字節(jié)

15、數(shù)、錯誤數(shù)、刪除數(shù)、數(shù)據(jù)報的數(shù)量和廣播的數(shù)量。這些統(tǒng)計數(shù)據(jù)既有發(fā)送的數(shù)據(jù)報數(shù)量，也有接收的數(shù)據(jù)報數(shù)量。這個選項可以用來統(tǒng)計一些基本的網(wǎng)絡(luò)流量。 netstat -r本選項可以顯示關(guān)于路由表的信息，類似于后面所講使用route print命令時看到的信息。除了顯示有效路由外，還顯示當(dāng)前有效的連接。 netstat -a本選項顯示一個所有的有效連接信息列表，包括已建立的連接（ESTABLISHED），也包括監(jiān)聽連接請求（LISTENING）的那些連接。 netstat -n顯示所有已建立的有效連接。 木馬文件的隱藏和偽裝（1）文件的位置（2）文件的屬性（3）捆綁到其他文件上（4）文件的名字（5）文

16、件的擴(kuò)展名（6）文件的圖標(biāo) 木馬運(yùn)行中的隱藏與偽裝（1）在任務(wù)欄里隱藏（2）在任務(wù)管理器里隱藏（3）隱藏端口防火墻對于連入的鏈接往往會進(jìn)行非常嚴(yán)格的過濾，但是對于連出的鏈接卻疏于防范。反彈端口型木馬的服務(wù)端（被控制端）使用主動端口，客戶端（控制端）使用被動端口，木馬定時監(jiān)測控制端的存在，發(fā)現(xiàn)控制端上線立即彈出端口主動連結(jié)控制端打開的主動端口，為了隱蔽起見，控制端的被動端口一般開在80，這樣，即使用戶使用端口掃描軟件檢查自己的端口，稍微疏忽一點(diǎn)你就會以為是自己在瀏覽網(wǎng)頁。木馬啟動方式 win.iniwin.ini 是早期windows系統(tǒng)的配置文件。win98及以后的系統(tǒng)都沒有用這個，而是用一個

17、叫“注冊表”的數(shù)據(jù)庫來配系統(tǒng)。但保留了對win.ini的加載。也就是在啟動時，還是會讀取里面的配置。一些病毒也利用這一點(diǎn)。把自己的地址放到里面的：load 項里，全能在啟動時自動運(yùn)行。 system.ini包含Windows初始配置信息的重要文件，其中的配置語句較復(fù)雜且對Windows用戶十分重要 包含整個系統(tǒng)的信息(如顯示卡驅(qū)動程序等)，是存放Windows啟動時所需要的重要配置信息的文件 木馬啟動方式 啟動組注冊表捆綁方式啟動 :偽裝在普通文件中設(shè)置在超級連接中 木馬的檢測系統(tǒng)的異常情況打開文件，沒有任何反應(yīng) 查看打開的端口檢查注冊表查看進(jìn)程防御 發(fā)現(xiàn)木馬：檢查系統(tǒng)文件、注冊表、端口不要輕

18、易使用來歷不明的軟件 不熟悉的E-MAIL不打開常用殺毒軟件并及時升級合理使用防火墻在安裝新的軟件之前，請先備份注冊表，在安裝完軟件以后，立即用殺毒軟件查殺Windows文件夾和所安裝的軟件的所在文件夾。如果殺毒軟件報告有病毒，這時請將它殺掉，殺毒完成后，重新啟動計算機(jī)。木馬傳播方式主動與被動：主動種入通過Email文件下載瀏覽網(wǎng)頁流行木馬簡介冰 河back orificeSubseven網(wǎng)絡(luò)公牛(Netbull)網(wǎng)絡(luò)神偷(Nethief)廣外男生（是廣外女生的一個變種）Netspy(網(wǎng)絡(luò)精靈)拒絕服務(wù)攻擊(DoS)DoS-Denial of Service：現(xiàn)在一般指導(dǎo)致服務(wù)器不能正常提供服

19、務(wù)的攻擊。DoS攻擊的事件 ： 2000年2月份的Yahoo、亞馬遜、CNN被DoS攻擊。 2019年10月全世界13臺DNS服務(wù)器同時受到了DDoS（分布式拒絕服務(wù)）攻擊。 2019年1月25日的“2019蠕蟲王”病毒。 2019年8月，共同社報道：日本近期共有上百網(wǎng)站遭到黑客襲擊。DoS 攻擊的分類以消耗目標(biāo)主機(jī)的可用資源為目的（例如：死亡之ping、SYN攻擊、Land攻擊、淚珠攻擊等） 以消耗服務(wù)器鏈路的有效帶寬為目的（例如：蠕蟲） 死亡之Ping對目標(biāo)IP不停地Ping探測從而致使目標(biāo)主機(jī)網(wǎng)絡(luò)癱瘓。常見工具有蝸牛炸彈、AhBomb等。由于在早期的階段，路由器對包的最大尺寸都有限制，許

20、多操作系統(tǒng)對TCP/IP棧的實(shí)現(xiàn)在ICMP包上都是規(guī)定64KB，并且在對包的標(biāo)題頭進(jìn)行讀取之后，要根據(jù)該標(biāo)題頭里包含的信息來為有效載荷生成緩沖區(qū)，當(dāng)產(chǎn)生畸形的，聲稱自己的尺寸超過ICMP上限的包也就是加載的尺寸超過64K上限時，就會出現(xiàn)內(nèi)存分配錯誤，導(dǎo)致TCP/IP堆棧崩潰，致使接受方死機(jī)。ping -t -l 65500 ip 死亡之ping(發(fā)送大于64K的文件并一直ping就成了死亡之ping)如何防御對防火墻進(jìn)行配置，阻斷ICMP以及任何未知協(xié)議，都講防止此類攻擊 攻擊者 目標(biāo)主機(jī)SYNSYN/ACKACK等待應(yīng)答SYN：同步SYN/ACK:同步/確認(rèn)ACK：確認(rèn)SYN攻擊的原理（1）

21、.SYN/ACKSYN/ACKSYN/ACKSYNSYNSYN攻擊者目標(biāo)主機(jī)SYNSYN/ACK1nSYN/ACKSYN/ACKSYN/ACKSYN/ACK.等待ACK應(yīng)答.不應(yīng)答不應(yīng)答重新發(fā)送SYN攻擊的原理（2）以windows 為例SYN攻擊花費(fèi)時間（秒）累計花費(fèi)時間（秒）第一次，失敗3 3嘗試第1 次，失敗69嘗試第2 次，失敗1221嘗試第3 次，失敗2445嘗試第4 次，失敗4893嘗試第5 次，失敗96189課堂演練SYN攻擊synkiller（圖形界面工具） syn等（DOS界面工具） 【攻擊效果】可通過抓包和查看CPU的利用率來觀看攻擊效果 死亡之ping SYN Flood

22、Land攻擊淚珠（Teardrop）攻擊 行行色色的DOS攻擊1)攻擊者攻擊諸客戶主機(jī)以求分析他們的安全水平和脆弱性。攻擊者各種客戶主機(jī)目標(biāo)系統(tǒng)2)攻擊者進(jìn)入其已經(jīng)發(fā)現(xiàn)的最弱的客戶主機(jī)之內(nèi)(“肉雞”)，并且秘密地安置一個其可遠(yuǎn)程控制的代理程序(端口監(jiān)督程序demon)。攻擊準(zhǔn)備：安置代理代理程序DDoS (分布式拒絕服務(wù))攻擊（1） 3)攻擊者使他的全部代理程序同時發(fā)送由殘缺的數(shù)字包構(gòu)成的連接請求送至目標(biāo)系統(tǒng)。攻擊者目標(biāo)系統(tǒng)發(fā)起攻擊：指令攻擊的代理程序4)包括虛假的連接請求在內(nèi)的大量殘缺的數(shù)字包攻擊目標(biāo)系統(tǒng)，最終將導(dǎo)致它因通信淤塞而崩潰。虛假的連接請求DDoS (分布式拒絕服務(wù))攻擊（2）視頻

23、教學(xué)自行觀看視頻教學(xué)錄像“獨(dú)裁者DDoS動畫教程”進(jìn)一步理解DDoS攻擊的過程和效果。 一個病毒被發(fā)給許多的客戶。只要他們打開并且啟動該病毒，.該病毒將再繼續(xù)傳播，傳送它本身到別的客戶，諸如此類(病毒感染呈指數(shù)增長)。按指數(shù)率增長自我傳播的電子郵件e-mail病毒緩沖區(qū)溢出（buffer overflow)從一個對話框說起認(rèn)識緩沖區(qū)溢出【引例】把1升的水注入容量為0.5升的容量中第一次大規(guī)模的緩沖區(qū)溢出攻擊是發(fā)生在1988年的Morris蠕蟲，它造成了6000多臺機(jī)器被癱瘓，損失在$100 000至$10 000 000之間，利用的攻擊方法之一就是fingerd的緩沖區(qū)溢出。緩沖區(qū)溢出攻擊已經(jīng)

24、占了網(wǎng)絡(luò)攻擊的絕大多數(shù)，據(jù)統(tǒng)計，大約80%的安全事件與緩沖區(qū)溢出攻擊有關(guān)。緩沖區(qū)溢出的基本原理（1）緩沖區(qū)溢出源于程序執(zhí)行時需要存放數(shù)據(jù)的空間，也即我們所說的緩沖區(qū)。緩沖區(qū)的大小是程序執(zhí)行時固定申請的。然而，某些時候，在緩沖區(qū)內(nèi)裝載的數(shù)據(jù)大小是用戶輸入的數(shù)據(jù)決定的。程序開發(fā)人員偶爾疏忽了對用戶輸入的這些數(shù)據(jù)作長度檢查，由于用戶非法操作或者錯誤操作，輸入的數(shù)據(jù)占滿了緩沖區(qū)的所有空間，且超越了緩沖區(qū)邊界延伸到緩沖區(qū)以外的空間。我們稱這個動作為緩沖區(qū)溢出。往往緩沖區(qū)溢出會覆蓋了其他在內(nèi)存空間中的數(shù)據(jù)。如果被緩沖區(qū)溢出所覆蓋的數(shù)據(jù)是一些程序執(zhí)行時所必須的固定值的數(shù)據(jù)，例如函數(shù)的返回地址，那么該程序執(zhí)行

25、過程必定會發(fā)生改變，嚴(yán)重的甚至?xí)?dǎo)致程序、系統(tǒng)崩潰。緩沖區(qū)溢出的基本原理（2）緩沖區(qū)溢出是由于系統(tǒng)和軟件本身存在脆弱點(diǎn)所導(dǎo)致的。例如目前被廣泛使用的C和C+，這些語言在編譯的時候沒有做內(nèi)存檢查，即數(shù)組的邊界檢查和指針的引用檢查，也就是開發(fā)人員必須做這些檢查，可是這些事情往往被開發(fā)人員忽略了；標(biāo)準(zhǔn)C庫中還存在許多不安全的字符串操作函數(shù)，包括：strcpy()，sprintf()，gets()等等，從而帶來了很多脆弱點(diǎn)，這些脆弱點(diǎn)也便成了緩沖區(qū)溢出漏洞。Windows IA-32系統(tǒng)的內(nèi)存結(jié)構(gòu) 計算機(jī)運(yùn)行時，系統(tǒng)將內(nèi)存劃分為3個段，分別是代碼段、數(shù)據(jù)段和堆棧段。代碼段 數(shù)據(jù)只讀，可執(zhí)行。在代碼段一

26、切數(shù)據(jù)不允許更改。在代碼段中的數(shù)據(jù)是在編譯時生成的2進(jìn)制機(jī)器代碼，可供CPU執(zhí)行。數(shù)據(jù)段 靜態(tài)全局變量是位于數(shù)據(jù)段并且在程序開始運(yùn)行的時候被加載?？勺x、寫 。堆棧段 放置程序運(yùn)行時動態(tài)的局部變量，即局部變量的空間被分配在堆棧里面?？勺x、寫 。 Windows IA-32系統(tǒng)的內(nèi)存結(jié)構(gòu)圖+-+低端地址 | |+-+| | | 動態(tài)數(shù)據(jù)區(qū) | |+-+| |+-+| 代碼區(qū) |+-+ | 靜態(tài)數(shù)據(jù)區(qū) |+-+| |+-+高端地址補(bǔ)充：函數(shù)調(diào)用時的操作一般計算機(jī)系統(tǒng)堆棧的方向與內(nèi)存的方向相反。壓棧的操作push ESP4，出棧的操作是pop=ESP+4.。在一次函數(shù)調(diào)用中，堆棧中將被依次壓入：參數(shù)，

27、返回地址，EBP。如果函數(shù)有局部變量，接下來，就是在堆棧中開辟相應(yīng)的空間以構(gòu)造變量。函數(shù)執(zhí)行結(jié)束，這些局部變量的內(nèi)容將被丟失，但是不被清除。在函數(shù)返回的時候，彈出EBP，恢復(fù)堆棧到函數(shù)調(diào)用的地址,彈出返回地址到EIP以繼續(xù)執(zhí)行程序。 Windows緩沖區(qū)溢出實(shí)例分析/* * 文件名：overflow.cpp* 功能：演示W(wǎng)indows緩沖區(qū)溢出的機(jī)制* 作者：池瑞楠*/ #include #include char bigbuff=aaaaaaaaaa; / 10個avoid main()char smallbuff5; / 只分配了5字節(jié)的空間strcpy(smallbuff,bigbuff);利用O