Geschützt Speicher-Bewegungsprojekt erhält handlich, wenn Sie Bufferüberläufe studieren müssen und Sie sie zusammen mit einem „guten“ Stapelbild abfangen müssen. Wenn ein Stapelüberlauf ausgenutzt worden, gegangen die rückseitige Spur bereits zusammen mit guten Informationen über Parameter und lokale Variablen, die von grundlegender Bedeutung beim Versuchen, zu verstehen sind, wie die angreifende Partei versucht, die Großtat auszuarbeiten. Die GMM Bibliothek verwendet dynamisches Funktionsaufrufabfangen, um die geläufigsten Funktionen abzufangen, die durch angreifende Parteien verwendet, um Stapelbuffer auszunutzen.

Die GMM Bibliothek verwendet die LD_PRELOAD Fähigkeit und anbietet zwei Dienstleistungen dem Benutzer. Zuerst vermeidet sie Bufferüberlauf, um der angreifenden Partei zu erlauben, Shellcode auf Ihrer Maschine durchzuführen. Zweitens falls, wo eine Großtat aufgespürt, der Stapelinhalt gespart und ein Segmentationdefekt gestartet. Der resultierende Kernspeicherabzug hat dann alle notwendigen Informationen, zum der Großtat auszuprüfen und der Software zu reparieren. Innerlich der Bibliothekseinlage selbst zwischen die Anwendung und den glibc Bibliotheks- und Abschnittfunktionen, die führen konnten, um Sammelgroßtaten zu puffern. Bevor sie die glibc Kernfunktion ruft, spart die GMM Schicht Teil des Stapelrahmens über dem aufrufenden Programm zu einem temporären Einbauort in seinem Rahmen.

Sie lagert auch die vorhergehenden drei Rücksprungadressen in seiner lokalen Speicherung, bevor sie die glibc Kernfunktion rufen. Wenn die Kernfunktion zurückgeht, zurückstellt die GMM Codeproben wieder die vorher gespeicherten Rücksprungadressen und, wenn sie unterscheiden, es den vorher gesparten Stapelrahmen parten und herausgibt einen Segmentationdefekt gibt. Dieses mit einem sauberen Stapelrahmen, damit er mit einem Debugger geprüft werden kann. Während andere Lösungen existieren, um aufzuspüren, ausnutzt Bufferüberlauf, wie zum Beispiel StackGuard uf und StackShield, die unterscheidet von GMM in vielerlei Hinsicht. Sie leben als GCC-Änderungen am Objektprogramm und fordern Sie, Ihre Anwendung umzubauen, um ihre Funktionalitäten zu verwenden. Das gute dieses Anfluges ist, dass jede einzelne Funktion gegen Bufferüberläufe geschützt.

Das Schlechte dieser Lösung ist, dass jede einzelne Funktion gegen Bufferüberläufe geschützt. Das heißt, Anwendung der Leistungsrückbildung im allgemeinen, selbst wenn dieses nicht wirklich ein sehr großes Problem bei der Jagd für Bufferüberläufe ist. Eine andere Lösung, die GMM ähnlich ist, ist LibSafe, aber sie spart und zurückstellt den Stapelrahmen nicht Stapel, indem sie ihn unbrauchbar für Fehlersuche bilden. Aber läßt sehen, wie GMM von den oben verzeichneten Lösungen unterscheidet. Zuerst sind GMM Arbeiten überall dort Stapelrahmen und das GCC-und glibc Duo. Das bedeutet, dass es nicht auf nur i386 begrenzt. Und jetzt der wirkliche Grund für das GMM Bestehen.

Was in diesem Auslösen neu ist:

· GCCs __builtin_return_address und __builtin_frame_address scheint, Abfall anstelle von der NULL am letzten Rahmen zurückzubringen. Dieses Auslösen regelt das Problem.