本申請公開了一種棧保護的方法，可應用于任何包含操作系統的設備或系統中，該方法包括：獲取請求，該請求用于觸發處理器從用戶態切換到內核態，處理器根據該請求，從用戶態切換到內核態；將內核態下用于保護棧的參數值從第一值隨機更新為第二值；根據第二值對棧進行保護。本申請技術方案由于在從用戶態切換到內核態之后，才隨機更新canary值，就會讓攻擊者無法預先獲取到該隨機更新的canary值，從而無法攻擊高特權的內核態的棧，從而保證了高管理級別工作態中棧保護的安全性。

技術領域

本申請涉及計算機技術領域，具體涉及一種棧保護的方法及裝置。

背景技術

棧保護(stack canary)，也叫stack cookie，是一種針對棧緩沖區溢出(stackbuffer overflow)攻擊的保護技術。棧緩沖區溢出攻擊即通過越界訪問保存在棧中的緩沖區，實現對棧中關鍵信息的修改。舉例來說，攻擊者可以通過修改保存在棧緩沖區中的函數返回地址，實現對函數行為的修改，使得原本應該返回第一地址的函數返回到了攻擊者修改后的第二地址，這樣攻擊者就可以利用該函數盜取數據或者攻擊該計算機系統。

Stack canary是針對這種非法修改行為的一種保護機制。Stack canary保護機制是在運行函數執行壓棧操作時從用于存放canary值的結構體中獲取一個canary值寫入棧(stack)中。壓棧操作完成后，在運行函數返回時，通過比對棧中的canary值和結構體中的canary值是否一致，來判斷棧是否被攻擊。

Stack canary被廣泛部署在各類軟件中，是應用最廣泛的棧保護技術。Stackcanary機制有效的前提是攻擊者無法知道canary值。然而，當前攻擊手段愈發多樣，攻擊者可以通過多種方法獲取到canary值，從而使得stack canary機制失效。

發明內容

本申請實施例提供一種棧保護的方法，用于保證了高管理級別的工作態中棧保護的安全性。本申請實施例還提供了相應的裝置。

本申請第一方面提供一種棧保護的方法，該方法可以應用于各種類型的處理器中，如：中央處理器(central processing unit，CPU)和圖形處理器(graphics processingunit，GPU)等，該處理器可以包含于例如：手機、平板電腦、個人計算機(personalcomputer，PC)等終端設備，以及其他服務器類的設備中。該方法包括：獲取請求，請求用于觸發處理器從第一工作態切換到第二工作態，第二工作態的管理級別高于第一工作態的管理級別；根據請求，從第一工作態切換到第二工作態；將第二工作態下用于保護棧的參數值從第一值更新為第二值；根據第二值對棧進行保護。