要說最恐怖的黑客攻擊是什么，答案肯定是緩沖區(qū)溢出攻擊。當(dāng)年Windows爆發(fā)RPC溢出漏洞后，網(wǎng)絡(luò)上每天有數(shù)百萬臺計算機被黑客入侵。黑客利用溢出漏洞無需復(fù)雜的技術(shù)，只需利用工具一個命令即可進入目標(biāo)的計算機中，史上最強計算機病毒“震蕩波”也正是利用PRC溢出漏洞進行傳播的。而殺毒軟件面對溢出攻擊，卻束手無策，這就是溢出攻擊的恐怖之處。那么什么是溢出攻擊?我們又該如何防范溢出攻擊呢?請看本文。

什么是溢出攻擊?

溢出，顧名思義和水溢出的原理相當(dāng)。我們來舉個簡單的例子：有一桶干凈的水，水面剛好和桶口齊平，我們將一杯污水倒入到這個桶中，這時水會發(fā)生溢出，但這不是重要的，重要的是已經(jīng)有部分污水混入了干凈的水，這時這桶水已經(jīng)不再是一桶干凈的水了。

把這個原理搬到溢出攻擊中后可以這樣理解：我們將一段惡意代碼通過漏洞插入到程序正常的代碼當(dāng)中，由于代碼長度是固定的，這段代碼會有一部分正常代碼被溢出，也就是說我們的惡意代碼代替了正常的程序代碼。在程序要調(diào)用這段代碼的時候，它會將我們插入的惡意代碼當(dāng)作正常代碼調(diào)用，這時溢出攻擊就完成了。這段惡意代碼可實現(xiàn)的作用是任意的，例如提升用戶權(quán)限、造成程序崩潰等等。

本文相關(guān)軟件

Enhanced Mitigation Experience Toolkit

軟件版本：2.0.0.3

軟件大?。?.66MB

軟件語言：中文

應(yīng)用平臺：Windows XP/Vista/7

注：在安裝之前，首先要安裝.net framework 2.0。

下載軟件：http://down.51cto.com/data/169420

更多安全工具>>進入專題

更多網(wǎng)管軟件>>進入專題

由于溢出攻擊屬于黑客攻擊行為，并不是什么病毒木馬，因此殺毒軟件在溢出攻擊面前毫無招架之力，所以在電腦上安裝殺毒軟件并不能防御溢出攻擊，而必須借助一些專業(yè)的防溢出安全軟件。

防范溢出是一項比較復(fù)雜的工作，如果對系統(tǒng)進行防溢出配置，那需要花費大量的時間，并且需要一定的技術(shù)，因此借助于防溢出安全工具無疑是最好的選擇。微軟的防溢出工具Enhanced Mitigation Experience Toolkit(簡稱EMET)可以說是配置最簡單也最有效的防溢出工具(誰讓W(xué)indows是溢出漏洞大戶呢)。EMET不僅可以防范Windows上的各種0day漏洞，還能防范第三方軟件的0day漏洞，在漏洞補丁沒有發(fā)布之前，EMET可以有效保護計算機不被黑客攻擊。

EMET主界面

EMET可以提供數(shù)據(jù)執(zhí)行保護功能(DEP)，這是自XP SP2起加入的安全功能。DEP可以強制阻止位于內(nèi)存中的可執(zhí)行代碼運行，僅允許純數(shù)據(jù)內(nèi)容，這樣就能預(yù)防常見的漏洞利用方式。而通過EMET就可以讓原本不具備DEP功能的應(yīng)用程序獲得這項功能。#p#

安裝完畢后我們雙擊運行，EMET的界面可以說是相當(dāng)之簡潔。上半部分為系統(tǒng)全局狀況，下半部分則是當(dāng)前所有運行中的進程，可以查看是否支持DEP，是否被EMET強化過。上半部分的系統(tǒng)全局設(shè)置Configure System選項，對于Windows 7用戶采用默認(rèn)設(shè)置即可;對于XP用戶，建議采用“Maximum Security Settings”，因為XP本身不具備SEHOP和ALSR(克服地址空間布局隨機化限制，防止dll溢出)功能。

全局保護設(shè)置

而應(yīng)用程序方面，鑒于目前被利用的絕大多數(shù)0day都來自與網(wǎng)絡(luò)有關(guān)的應(yīng)用程序，比如IE，所以我們要重點關(guān)照一下這些程序。點擊“Configure Apps”，接著點“Add”，添加你希望保護的程序。完成后運行你剛才添加的程序(如果該程序添加前已經(jīng)在運行則需要關(guān)閉重啟之)，此時，在EMET主界面上就會看到受保護的程序在“Running EMET”一欄里有了標(biāo)識。

添加對單個程序的保護

以后只要網(wǎng)絡(luò)上公布了Windows或某軟件的0day漏洞，我們就可以通過EMET對其進行設(shè)置，這樣即可臨時解決溢出問題。當(dāng)然，最終的解決辦法還是安裝漏洞補丁，這樣才能一勞永逸。

【編輯推薦】

1. 十個值得一用的免費反惡意軟件工具
2. 漏洞管理工具方面的幾點注意事項
3. 網(wǎng)絡(luò)攻擊工具包泛濫導(dǎo)致互聯(lián)網(wǎng)威脅形勢嚴(yán)峻
4. RSA2011：M86預(yù)測利用第三方工具包的釣魚攻擊開始凸顯