Windows平臺下ROP攻擊緩解技術(shù)研究.pdf

1、互聯(lián)網(wǎng)是二十一世紀(jì)最具活力和創(chuàng)新的產(chǎn)業(yè)，它深深的扎根于人類社會的每一個角落中。人們享受互聯(lián)網(wǎng)帶來的便捷生活的同時，卻忽視伴隨而來的安全問題。近年來網(wǎng)絡(luò)安全事件層出不窮，如Google北極光APT事件、Hacking Team信息泄露事件和百度應(yīng)用Wormhole漏洞事件都造成了極大的破壞，從中可以看出當(dāng)今互聯(lián)網(wǎng)安全局勢十分嚴(yán)峻。在安全事件中，ROP攻擊越來越受到黑客和安全研究員的重視，因?yàn)檫@種攻擊方法能繞過當(dāng)前大多數(shù)防御措施。本文正是針

2、對當(dāng)前漏洞攻防中ROP攻擊泛濫的嚴(yán)重局勢，在研究正常程序跳轉(zhuǎn)的基礎(chǔ)上，提出了一種全新的ROP攻擊緩解方法，并設(shè)計(jì)實(shí)現(xiàn)了相應(yīng)的緩解原型系統(tǒng)。本文的主要工作包括：
　　第一，在調(diào)試器原理的基礎(chǔ)上，通過Windows系統(tǒng)獨(dú)有的頁面守護(hù)異常提出了熱點(diǎn)動態(tài)鏈接庫分析方法，并依據(jù)該方法實(shí)現(xiàn)了HMAT指令分析工具。HMAT指令分析工具能夠細(xì)致的分析程序在運(yùn)行期間匯編指令層面的執(zhí)行特點(diǎn)，并根據(jù)用戶需求單獨(dú)分析進(jìn)程中的某些動態(tài)鏈接庫。利用HMAT指

3、令分析工具，在分析Windows系統(tǒng)中幾款自帶軟件的基礎(chǔ)上，對call、jmp和ret三類間接跳轉(zhuǎn)指令進(jìn)行了詳細(xì)研究。通過研究發(fā)現(xiàn)，三類間接跳轉(zhuǎn)指令在正常執(zhí)行過程中有別于受到ROP攻擊情況下的執(zhí)行特點(diǎn)，通過鑒別執(zhí)行過程中三類間接跳轉(zhuǎn)的完備性從而檢測出當(dāng)前程序是否受到ROP攻擊。
　　第二，研究了在檢測和防御ROP攻擊過程中需要面對的三個問題，分別是在程序運(yùn)行過程中什么時候檢測、在哪個點(diǎn)檢測以及通過什么方法識別ROP攻擊。在結(jié)合傳統(tǒng)

4、檢測方法基礎(chǔ)上，確定了在關(guān)鍵函數(shù)被調(diào)用時來檢測當(dāng)前程序是否受到攻擊并確定了函數(shù)選擇標(biāo)準(zhǔn)，最后創(chuàng)新性的提出，利用單步調(diào)試技術(shù)來識別執(zhí)行的每一條指令，通過鑒別指令序列中間接跳轉(zhuǎn)的完備性來判斷當(dāng)前是否受到ROP攻擊。
　　第三，基于三個問題研究成果的基礎(chǔ)上提出了ROP攻擊緩解方案，并依據(jù)設(shè)計(jì)方案實(shí)現(xiàn)了原型系統(tǒng)。本文對緩解系統(tǒng)的實(shí)現(xiàn)目標(biāo)和各模塊的設(shè)計(jì)進(jìn)行了詳細(xì)闡述。最后通過三個漏洞樣本，對ROP攻擊緩解原型系統(tǒng)進(jìn)行了詳細(xì)測試，測試結(jié)果表明