为什么要进行栈的保护根据Windows和Linux的详细资料讲解

　　对于为何要保护堆栈，请以“缓冲区溢出”，“堆栈”为关键词google一下，本文不再赘述。只要你的程序要调用函数，那么就要使用堆栈，不进行函数调用的程序已经很少了吧，难道你能忍受通篇的jmp，jne.。。等等手工作坊的方法吗？在linux和windows 上，保护栈的方式最重要的莫过于两种， 一个是使用堆栈安全cookie；另一个是使栈不可执行。

　　上面提到的两种方式中，安全cookie提供了更大的保护，而不可执行栈在遇到溢出代码放到堆的时候就很难奏效了，先看看安全cookie是怎么一回事。 在传统的函数调用时，栈自下而上是：参数--》返回地址--》老的栈底指针--》局部变量--》。。.如果局部变量发生向下溢 出，覆盖了函数的返回地址，那么程序一点脾气也没有，乖乖听任你的摆布，但是这种错误的行为是在被调函数返回的时候发生的，如果被调函数有漏洞，那么我们希望的是在它返回的时候，也就是出了它的控制范围的时候主动地报出错误，而不是将错就错，那么就需要一种有效的方式来检测到错误的发生，于是安全 cookie就临危受命了，它实际上就是在参数--》返回地址--》老的栈底指针--》局部变量--》。。.中间插入了一个 cookie，使得这个结构变为了参数--》返回地址--》老的栈底指针--》cookie--》局部变量--》。。.这 个cookie是每个程序映像都有的一个数值，最好就是一个随机值，当函数调用的时候，编译器自动插入（编译的时候编译器知道何时进行函数调用，比如 call）一个cookie，这个cookie在程序启动的时候被初始化为随机值（如果不是随机值，我们考虑最极端的情况，比如就是1，那么攻击者就知道 把kookie的位置覆盖为1就不会导致cookie 检查失败了），当程序返回的时候系统会检查堆栈的cookie和程序的cookie是否一致，如果不 一致，那么就报错。

　　以上的方式很不错吗？考虑一下以下的问题：如果攻击者知道程序的cookie所存放的位置，那么他就会知道cookie的值，于是他就知道应该将堆栈中 cookie位置的值覆盖成什么，即使你将cookie的存放位置设为不可读也不好，因为攻击者总能通过各种淫乱的手段达到目的，试问你是保护 cookie函数保护函数返回值？另外一个问题：当cookie检查失败，该怎么办？就算 cookie检查失败，缓冲区确实溢出，但是此时操作系统内核并 不知道发生的一切（前提是只要别溢出到内核空间），于是想让系统在检查失败时就自动陷入内核是不可能的，一切必须手动进行，在用户空间进行，如果想让内核帮忙处理，就要手动进行陷入（x86种int指令），如果不需要内核处理就在用户空间了断，不管哪种方式，都要在检查失败后跳到一段代码，我们姑且把它叫做异常处理代码，那么问题来了，如果攻击者将这段异常处理代码攻击了怎么办，这不成了个怪圈了吗？是的，这是个怪圈，缓冲区溢出错误既然发生，你就谁也别 怪，错就错在你的代码写的不严密有漏洞，指望缓冲区溢出检查机制无论怎样结果都是不可信的，记住，计算机系统中只有一种可信的软件，就是操作系统内核（存在内核的前提下，当然不包括裸奔的单片机），而用户空间的缓冲区溢出又没有严重到内核必须接管的地步（它可没有缺页异常严重），既然用户空间的任何机制都 不可信，那么你还指望所谓严密的缓冲区溢出检查机制吗？