作者Clangpp (Clang++)
看板C_and_CPP
标题[问题] 如何写出符合安全的C/C++ code
时间Wed Apr 6 21:24:00 2016
https://www.facebook.com/x43x61x69/posts/780870938716449
昨天看到很多人传这一篇文章
我发现周遭很多人都会犯一样的错误。
另外还看到很多新手居然把重要参数写在 #define (preprocessor)中...
(同事的说法 因为编成binary後还是明码
甚至可以直接开档改 所以建议重要参数不要放在 preprocessor)
想问一下有什麽书在教安全程式的写法
像是避免strcpy的buffer overflow攻击之类的
--
C++是双截棍,挥舞起来很强悍。
很吸引人,但需要你多年的磨练来掌握。
很多人希望改用别的武器。
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 118.166.214.17
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/C_and_CPP/M.1459949046.A.0A8.html
※ 编辑: Clangpp (114.37.142.207), 04/06/2016 22:01:07
1F:→ Hazukashiine: 把重要参数写在 #define 错了吗?不是很正常? 04/06 23:00
2F:推 ronin728: 同楼上,求指点 04/06 23:03
4F:→ Hazukashiine: 没有提及C语言的 Macro 有何安全性问题 04/06 23:06
5F:→ Hazukashiine: 只有 VBA-type/WindWord Macros 可能有病毒攻击 04/06 23:06
6F:→ james732: 同一楼,不懂为什麽写在参数有问题...? 04/06 23:15
7F:→ king37937: 万无一失的程式码-终结 C & C ++ 软体漏洞 <= 这本? 04/07 02:21
8F:→ Clangpp: 我更正一下 重要参数是指密码的部分 我记得没错很容易被 04/07 08:04
9F:→ Clangpp: 反组译 跟加密相关的参数都建议不要放在code当中 04/07 08:05
10F:→ Clangpp: 有错可以更正我一下 因为我是听同事讲的 04/07 08:07
11F:→ Clangpp: 理由是上面描述的 04/07 08:08
※ 编辑: Clangpp (114.37.181.229), 04/07/2016 08:18:45
※ 编辑: Clangpp (59.124.167.226), 04/07/2016 09:07:08
※ 编辑: Clangpp (59.124.167.226), 04/07/2016 10:41:58
12F:→ Schottky: (笑到翻肚) 那用 const 就不会被反组译看到喔? 04/07 10:56
已修正了 感谢
13F:→ Schottky: 你那同事真的有反组译过自己或别人写的程式吗? 04/07 10:56
14F:→ Schottky: 电脑安全是另一个领域,而且是进阶课程,认真要做的话, 04/07 11:01
15F:→ Schottky: 成本非常高,不过你若只要单纯讨论一个实际遇到的问题 04/07 11:02
16F:→ Schottky: 像是现在这个密码问题,我蛮愿意聊聊的 04/07 11:03
17F:→ Schottky: 如果要看书,我推荐 Bruce Schneier 的 Pratical 04/07 11:05
18F:→ Schottky: Cryptography 第 9 和 16 章 Implementation Issues 04/07 11:05
19F:→ Schottky: 它有教你一点点诀窍,且告诉你不要妄想看个两章就变行家 04/07 11:06
20F:→ Clangpp: 喔喔喔 感谢 愿闻其详 因为我也希望能够导正观念 04/07 11:29
21F:→ Clangpp: 有时候我们接收错误的观念太多 所以我想要理解什麽是正确 04/07 11:30
22F:→ Clangpp: 的 04/07 11:30
23F:→ Clangpp: 这种东西我一直很有兴趣 但是不知道从哪边入门 04/07 11:30
24F:→ Clangpp: 所以 密码不建议放在preprocessor是正确的吗?? 04/07 11:34
25F:→ Schottky: 密码喔... 我想你得先把整件事讲清楚才有办法讨论... 04/07 11:42
26F:→ Schottky: 什麽密码? 程式如何使用? 要防范什麽样的威胁? 04/07 11:42
27F:→ Schottky: 如果直接这样问我,我会告诉你放哪都会被反组译出来 04/07 11:43
28F:→ Schottky: #define 最後还是会处理完再代入该放的位置,那个该放的 04/07 11:46
29F:→ Schottky: 位置大概就是你说的 const,再转成 binary 一样是明码 04/07 11:46
※ 编辑: Clangpp (59.124.167.226), 04/07/2016 12:32:55
30F:→ TobyH4cker: 也有可能是runtime时放进stack,但两者静态分析都秒爆 04/07 18:54
31F:→ L4ys: 明文只要在 memory 中出现过就抓得出来,没有例外 04/07 22:48
32F:推 LiloHuang: 简单弄可以买一套虚拟机保护的加壳器,找没自动脱壳的 04/08 09:51
33F:→ LiloHuang: 复杂一点的就是自己的壳自己做,反反编译跟反静态分析 04/08 09:55
34F:→ descent: 万无一失的程式码:终结C&C++软体漏洞 参考一下 04/08 12:23
35F:→ Schottky: 加壳(程式码加密)有个小麻烦,防毒软体会把你当病毒 04/08 12:57
36F:→ Schottky: 因为病毒超爱用这招来躲防毒软体的扫描 XDDD 04/08 12:57
37F:推 LiloHuang: 多数时候是防毒软体太弱,只能识别壳的部分特徵或行为 04/08 14:25
38F:→ LiloHuang: 不管三七二十一就判断是病毒,只能手工加壳加花多测试 04/08 14:28
39F:→ LiloHuang: 防止逆向工程跟免杀技术是正反两面 04/08 14:28
40F:→ TobyH4cker: 要买正版,既然买了也顺便买签章吧(X 正版才不易被杀 04/09 04:04