基于shellcode靜態(tài)特征的ROP攻擊檢測(cè)技術(shù)研究.pdf

1、通過緩沖區(qū)溢出的方式對(duì)系統(tǒng)漏洞實(shí)施攻擊的方式，近年來由于其存在的廣泛性和破壞的嚴(yán)重性，為人們所廣為關(guān)注。目前，雖然針對(duì)緩沖區(qū)溢出的研究領(lǐng)域涌現(xiàn)出諸多檢測(cè)和防護(hù)策略，但緩沖區(qū)溢出攻擊形勢(shì)依然非常嚴(yán)峻。一方面不斷有新的系統(tǒng)漏洞被發(fā)掘和利用，另一方面已有的防護(hù)策略也不斷被層出不窮的攻擊方式所攻破。所以，針對(duì)緩沖區(qū)溢出攻擊的研究仍然是網(wǎng)絡(luò)安全領(lǐng)域一個(gè)炙手可熱的話題。
　　 在眾多的溢出攻擊方式中，ROP(Return-Oriented

2、Programming，面向返回的編程)攻擊是一種全新的溢出攻擊方式。它通過調(diào)用系統(tǒng)內(nèi)存中已經(jīng)存在的二進(jìn)制代碼短段(gadget)來構(gòu)造一個(gè)圖靈完全的攻擊序列，可以實(shí)現(xiàn)繞過操作系統(tǒng)防范緩沖區(qū)溢出攻擊的重要保護(hù)機(jī)機(jī)制DEP(Data Execution Prevention，數(shù)據(jù)執(zhí)行保護(hù))，給計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)帶來了極大的安全威脅。
　　 本文從緩沖區(qū)溢出的基本原理出發(fā)，首先分析和總結(jié)了緩沖區(qū)溢出攻擊中常用的攻擊方式與檢測(cè)技術(shù)，并對(duì)

3、Windows操作系統(tǒng)中引入的DEP和ASLR(Address Space Layout Randomization，地址空間配置隨機(jī)化)兩大防御策略及其相應(yīng)的繞過方式進(jìn)行了詳細(xì)的闡述；隨后介紹了ROP攻擊的常見攻擊方式，包括RILC(Return-into-libc，返回到系統(tǒng)庫函數(shù))攻擊、基于RET指令的攻擊、基于JMP指令的攻擊等。以此為基礎(chǔ)，又進(jìn)一步對(duì)當(dāng)前學(xué)術(shù)界提出的采用影子棧、ROPdefender、ROPscan等檢測(cè)方式實(shí)

4、施檢測(cè)的優(yōu)缺點(diǎn)進(jìn)行了對(duì)比分析。
　　 基于以上分析結(jié)果，本文作者通過對(duì)ROP攻擊中所使用的shellcode代碼的特征的提取，總結(jié)出了ROP攻擊代碼應(yīng)具備的三個(gè)重要特征：(1)ROP攻擊代碼中包含著有效內(nèi)存地址序列，且該序列中的有效內(nèi)存地址在攻擊代碼中的間距較小(即在ROP攻擊代碼中只包含有少量的參數(shù)和填充數(shù)據(jù)，其余均是有效內(nèi)存地址)；(2)ROP攻擊代碼一般會(huì)包含對(duì)實(shí)現(xiàn)繞過操作系統(tǒng)DEP保護(hù)的相關(guān)函數(shù)的調(diào)用指令；(3)ROP攻