.text:00401056                 mov    esp, ebp

.text:00401058                 pop    ebp

.text:00401059                 retn

.text:00401059 main            endp

Рассмотрим ситуацию, когда следом за переполняющимся буфером идет указатель на скалярную переменную p и сама переменная x, которая в некоторый момент выполнения программы по данному указателю и записывается (порядок чередования двух последних переменных несущественен, главное, чтобы переполняющийся буфер затирал их всех). Допустим также, что с момента переполнения ни указатель, ни переменная не претерпевают никаких изменений (или изменяются предсказуемым образом). Тогда, в зависимости от состояния ячеек, затирающих оригинальное содержимое переменных x и p, мы сможем записать любое значение x по произвольному адресу p, осуществляя это «руками» уязвимой программы. Другими словами, мы получаем аналог функций POKE и PatchByte/PatchWord языков Бейсик и IDA-Си соответственно. Вообще-то, на выбор аргументов могут быть наложены некоторые ограничения (например, функция gets не допускает символа нуля в середине строки), но это не слишком жесткое условие и имеющихся возможностей вполне достаточно для захвата управления над атакуемой системой.

Листинг 6. Фрагмент программы, подверженной последовательному переполнению при записи и затиранием скалярной переменной

и указателя на данные, поглощающими затертую переменную

data_ptr()

{

    char buff[8]; int x; int *p;

    printf("passws:"); gets(buff);

    …

    *p = x;

}