课后解惑

Q：对于各个Windows版本，堆的处理过程都一样么？

A：堆管理和回收是个很大的主题。微软也一直在试验与改进，希望在效率和资源占用方面取得一个合理的折衷。所以堆管理器采用的分配算法，在不同的Windows版本上是不同的，但微软的改进毕竟是逐步的，所以讲的方法基本对各种版本研究都有效。

Q：堆溢出的利用有很大的实际意义么？

A：当然！堆溢出的危害还不像堆栈溢出那样被人认识得很清楚。无论是实际的利用，还是深入的研究方法，都很有意义。有本书讲解防止缓冲区溢出的方法时，居然建议不使用数组，使用动态分配这一项。

Q：为什么一再要求不要在VC里调试和运行堆溢出相关程序呢？

A：Windows为堆管理提供了两套API，一套用于正常管理分配，另一套用于调试。使用VC这类ring3调试器调试时，Windows会创建调试堆，并使用调试那套函数，这样就和正常运行时的堆处理不同。所以一再要求在正常模式下运行相关程序。如果要对正常的堆分配进行跟踪，最好使用ring0调试器（如SoftICE）。

Q：DEBUG版本和RELEASE版本的还有些什么不同呢？

A：DEBUG版和RELEASE版由于编译选项不同，所以编译器对它们的链接处理和生成的程序也不同。DEBUG版多了很多东西，比如调试信息；RELEASE版还会进行优化。所以调试版本会比发布版大很多。

Q：我写了一些程序，在DEBUG版时可以正常运行；但做成RELEASE版却报错，马上就要发布了，天啊！这是怎么回事啊？

A：不要轻易将问题归结为DEBUG/RELEASE问题，先确保有没有其他原因。如果是DEBUG/RELEASE的问题，最大的可能性是变量初始化的问题。在DEBUG下，编译器会自动把变量初始化；而RELEASE版则不会。 另外，预处理的不同、资源文件的改变，都有可能带来问题。

Q：堆溢出利用的ShellCode为什么会有这么多要求呢？怎么解决呢？

A：API函数执行会使用到进程的堆块。我们把堆覆盖了，那么函数执行时就会发生异常。

可按如下方法解决：

我们可以使用系统中另外存在的一个堆替换掉PEB中系统默认的堆，比如：

mov eax,fs:[0x00000018] 〈---------PEB地址
mov eax,[eax+0x30]
lea eax,[eax+0x18] 〈--------获得进程默认HEAP BASE地址??????
mov ebx,0x170000??
mov [eax],ebx 〈-----------换成0X170000

我们也可恢复HEAP FREE LIST结构，由于被破坏的主要是释放堆连表的结构，我们可以取出链表进行分析，恢复成一个正常的释放堆链表。

具体实现我们将在ShellCode的高级编程中讲到。

Q：为什么覆盖 Call [esi+4c] 指令的地址就会引发异常，从而进入异常处理点？而为什么在JPEG漏洞中可以覆盖0x7830B1DC处的函数，又不会出错呢？

A：这涉及到PE文件的的分段了。 Call [esi+4c] 的指令是在text段，就是代码段中。text段是不可写的，所以往它附近写入时就会出错，从而进入异常处理；而JPEG漏洞利用时，覆盖函数的地址是在data段中，而data段是可以写的，所以不会引发异常。

Q：还有哪些堆溢出利用的实际例子呢？

A：有很多哦，建议再看看RPC堆溢出漏洞的分析和利用，对增加堆的利用经验有很大帮助！