基于編譯置換的指令隨機(jī)化技術(shù)研究.pdf

1、指令集隨機(jī)化技術(shù)是一種通過隨機(jī)變換程序指令編碼來抵御代碼注入攻擊的新型防御技術(shù)，改變了傳統(tǒng)安全防御易攻難守的被動局面，實(shí)現(xiàn)了對已知和未知代碼注入型漏洞攻擊的主動可控防御。為了擺脫現(xiàn)有指令集隨機(jī)化技術(shù)存在的編碼難、安全性差和性能損耗大等問題，本文對低開銷、高安全、實(shí)用性強(qiáng)的新型指令隨機(jī)化技術(shù)開展研究，提出一種基于編譯置換的指令隨機(jī)化技術(shù)。
　　本文首先研究注入代碼（ShellCode）的構(gòu)造原理，提取出ShellCode執(zhí)行的三種模

2、式，選取ShellCode必要指令作為隨機(jī)化對象，在不降低防御效果的同時減少了隨機(jī)化指令的數(shù)量；設(shè)計(jì)隨機(jī)化指令映射規(guī)則生成器，在編譯過程中實(shí)現(xiàn)關(guān)鍵指令的隨機(jī)置換，提高了指令隨機(jī)化編碼的精確度；最后基于動態(tài)二進(jìn)制分析平臺實(shí)現(xiàn)了一個運(yùn)行環(huán)境，支撐隨機(jī)化程序的動態(tài)解碼與執(zhí)行，可以實(shí)現(xiàn)對攻擊的感知與動態(tài)決策，為該環(huán)境添加內(nèi)存保護(hù)策略，防御針對動態(tài)二進(jìn)制分析平臺的攻擊。
　　本文設(shè)計(jì)并實(shí)現(xiàn)了一套基于編譯置換的指令隨機(jī)化原型系統(tǒng)CIRE（Co

3、mpiled Instruction Randomization Emulation），其關(guān)鍵技術(shù)包括：給出一種基于ShellCode執(zhí)行模式的隨機(jī)化指令選擇方法，設(shè)計(jì)指令隨機(jī)化規(guī)則生成算法；設(shè)計(jì)指令隨機(jī)化分析框架，完成編譯階段指令的置換工作；研究函數(shù)單元指令定位技術(shù)，通過內(nèi)嵌反匯編器得到指令在函數(shù)單元內(nèi)的偏移；研究編譯階段指令隨機(jī)置換技術(shù)，在編譯過程中實(shí)現(xiàn)部分指令的隨機(jī)置換；研究并實(shí)現(xiàn)了基于DynamoRIO的隨機(jī)化程序動態(tài)執(zhí)行技術(shù)，

4、對隨機(jī)化指令進(jìn)行還原使程序正常執(zhí)行；實(shí)現(xiàn)了動態(tài)二進(jìn)制分析平臺的內(nèi)存保護(hù)技術(shù)，阻止攻擊者利用動態(tài)二進(jìn)制分析平臺漏洞對程序進(jìn)行攻擊；實(shí)現(xiàn)了攻擊感知技術(shù)，可以智能感知惡意代碼的攻擊，并對被隨機(jī)化的ShellCode指令進(jìn)行流向分析。測試時利用Metasploit攻擊CIRE保護(hù)的軟件，同時計(jì)算ShellCode指令隨機(jī)化率和時間開銷，結(jié)果表明，CIRE完全防御了Metasploit中的200個ShellCode的攻擊，且平均性能損耗<15％。