基于基本塊計數(shù)的ROP攻擊防御方法.pdf

1、面向返回編程（Return Oriented Programming，ROP）是一種攻擊技術，通過重用并鏈接內(nèi)存中已存在的代碼片段（gadget，以ret、jmp、call跳轉指令結尾）組成攻擊程序，能夠實現(xiàn)任意的攻擊行為。目前針對ROP攻擊提出的防御方法主要集中于內(nèi)存代碼布局信息的隱藏和控制流監(jiān)控，但實現(xiàn)的方法都存在一定的局限性，仍不能全面且有效的防御ROP攻擊。
　　通過對ROP攻擊中使用的gadget進行特征分析，提出了基于

2、基本塊（由兩條跳轉指令之間的可順序執(zhí)行的多條指令組成）計數(shù)的ROP攻擊防御方法。該方法跟蹤系統(tǒng)中程序運行時的指令執(zhí)行過程，通過對有限長度指令范圍內(nèi)的基本塊計數(shù)來判斷運行程序是否是ROP攻擊程序。特別針對以ret指令結尾的gadget和傳統(tǒng)函數(shù)調用返回方式的不同，提出call和ret指令匹配的檢測方法。經(jīng)過深入搜索和研究發(fā)現(xiàn)，仍然存在特殊gadget能夠繞過以上提出的一般的ROP攻擊防御方法，如超大指令數(shù)gadget、可直接執(zhí)行系統(tǒng)函數(shù)的

3、one gadget等，因此提出了針對特殊gadget的ROP攻擊防御方法。
　　根據(jù)以上提出的方法，以開源虛擬機DECAF為平臺，構建基于基本塊計數(shù)的ROP攻擊防御原型系統(tǒng)，結合虛擬機中的VMI和動態(tài)二進制插裝，對系統(tǒng)和程序運行時的指令和基本塊進行插裝計數(shù)檢測、ret指令返回違反函數(shù)調用策略的檢測及特殊gadget的執(zhí)行檢測，并實現(xiàn)算法離線搜索識別gadget。
　　經(jīng)過實際的攻擊防御實驗，原型系統(tǒng)能夠檢測到利用CVE-2