VB程序溢出问题

估计是除数为0或者超出变量定义范围(比如integer型变量，数值实际是long型)，通过调试，可以查处问题所在。

调试程序答销亏的方法：

1、设置断点：将光标移动到需要设置断点位置，在代码窗口最左边点一下，或者在调试菜单，点切换断点，或按F9

2、单步运行：按F8逐语句运行

3、单步运行后，黄色的一行，是程序运行到的位置

4、通过鼠标斗橡移动到变量，可以查看变量值

5、在代码中加清神入 debug.print 语句，在立即窗口中打印变量值

6、点右键，填加监视，可以监视变量

Integer的数值范围是 -2^15 到 2^15-1

Long的数值范围是 -2^31 到 2^31-1

如果计算结果超过了变量的数卜烂值范围举弊旅就会提示“溢出正凳”的。

连乘法是很容易超过数值范围的，比如

从1连乘到8：1*2*3*4*5*6*7*8这就已经超出Integer的最大值了；而1*2*3*4*5*6*7*8*9*10*11*12*13也超出Long的范围了。这还只是两位数以下的，如果是三位数以上的，那没两三下就死掉了。

很多搞IT都听说过缓冲区溢出，但是怎么利用缓冲区溢出的Bug来运行你自己的代码呢？这里我只介绍怎么利用静态缓冲区溢出来运行黑客程序。因为动态的，我还不会用。:)

第一节 堆栈的形式

在程序运行的时候，每次程序调用一个函数的时候，程序就要在内存里面分配一个空间来保存这个函数要使用到的本地变量，还有参数啊什么什么的。下面用一个程序片断来演示一下堆栈的形式

void TestCaller()

{

TestMethod(1)

int i = 0

}

void TestMethod(int p)

{

int l1 = 0

char l2 = '3'颂蠢

}

上面的程序很简单，就是定义了两个函数，函数TestCaller调用了函数TestMethod，而TestMethod定义了两个局部变量。在计算机野歼陪的内存里面堆栈的形式如下（大概的模型啊，不是很精确的）：

|----------------------|

| .... |<------ TestCaller的堆栈

|----------------------|

| 1 |<------ TestCaller传给TestMethod的参数p的值

|----------------------|

| TestCaller的ebp的值 |<------ TestCaller的堆栈的起始位置

|----------------------|

|函数返回地址 |<------- TestMethod调用完成以后的返回地址，就是TestCaller函数中，调用

|----------------------|TestMethod语句的下一行语句，本例中是int i = 0

| 0 |<------- TestMethod的第一个本地变量 l1的值

|----------------------|

| '3' |<------- TestMethod的第二个变量l2的值

|----------------------|

第二节 一个写的很差的程序

我们来看一个写的很差的程序：

void BadFunc(char *input)

{

if ( input == NULL ) return // 嗯，有错误验证

char local[20]

strcpy(local, input) // 将input指向的内存里面的数据拷贝到local中去

}

很多人都知道为什么这个程序写的很差，是啊，加入input指向的字符串的长度不只20个呢，那会怎么样？

我们先在调试器上试一下，BadFunc("12345678901234567890AAAAAAAAAAAAAAAAAAA")，运行一下程序，恩，VSd出一个错误对话框（对不起，我这里没有C++ Builder，所有的程序都是在VS 2005调试通过的，VS 6.0和VS 2003可能稍微修改一些输入字符串的长度）。对话框的内容是：

Unhandled exception at 0x41414141 in bufferoverflow.exe: 0xC0000005: Access violation reading location 0x41414141.

注：字改圆符'A'的ASCII玛就是41。在调试器跟踪一下，你就会发现这个错误对话框刚好是在BadFunc执行完成以后出现的。错误信息是Access violation reading location，说明你的程序在执行完BadFunc之后，CPU试图从0x41414141这个位置读取一些数据。打开内存窗口（VS 2005：Debug -- Windows -- Memory -- Memory 1），在Location那个文本框输入ebp<回车>。单击右键，选择4字节显示，你就会发现内存窗口的左上角（MSN空间不能插图，真的是很郁闷）有一溜的0x41414141。右边的ASCII显示也是一长串的AAAA.在内存窗口在往后面走一下，你就会发现刚才BadFunc的参数12345678901234567890AAAAAAAAAAAAAAAAAAA就在ebp的附近。记得我在开始说过的，ebp过去一些，就是你的函数返回地址。VSd出的错误对话框说明了函数返回地址已经被你的垃圾数据（多出来的AAAAAAAAA）覆盖了，当BadFunc返回的时候，CPU照常读取保存在ebp后面的函数返回地址，然后试图跳到返回地址所指向的位置继续执行。当BadFunc返回的时候，因为返回地址已经是0x41414141（AAAA）了，CPU试图读取内存地址为0x41414141的指令，继续执行程序，但是0x41414141是无效的内存地址（里面保存了什么东西只有天知道），于是一个Access violation(AV)就扔出来了。

这样我们就有机会改变程序原来的执行路径了，只要我们把BadFunc的返回地址改成我们想要的地址，而这个地址刚好有我们事先设计好的指令就可以了。现在来一个比较简单的：

#include <stdio.h>

#include <string.h>

void foo(const char *input)

{

char buf[10]

strcpy(buf, input)

}

void bar(void)

{

printf("Augh! I've been hacked!/n")

}

int main(int argc, char *argv[])

{

printf("Address of main = %p/n", main)

printf("Address of foo = %p/n", foo)

printf("Address of bar = %p/n", bar)// 0x00411131

foo("1234567890123456/xa0/x12/x41")

return 0

}

上面的例子里面，你要将最后的/xa0/x12/x41转换成你自己机器上bar函数的地址。最后你会看到，虽然在main函数中没有调用bar函数，但是bar函数还是被调用了。

上面的例子只是调用程序本身已有的函数，你还是没有办法调用你自己编写的函数。例如，你还不能把你写的dll导入到你要黑的程序里面去，所以你要让BadFunc执行你自己的函数，你还是有一些事情要做的。

---