基于shellcode靜態(tài)特征的ROP攻擊檢測技術研究.pdf

1、通過緩沖區(qū)溢出的方式對系統(tǒng)漏洞實施攻擊的方式，近年來由于其存在的廣泛性和破壞的嚴重性，為人們所廣為關注。目前，雖然針對緩沖區(qū)溢出的研究領域涌現(xiàn)出諸多檢測和防護策略，但緩沖區(qū)溢出攻擊形勢依然非常嚴峻。一方面不斷有新的系統(tǒng)漏洞被發(fā)掘和利用，另一方面已有的防護策略也不斷被層出不窮的攻擊方式所攻破。所以，針對緩沖區(qū)溢出攻擊的研究仍然是網(wǎng)絡安全領域一個炙手可熱的話題。
　　 在眾多的溢出攻擊方式中，ROP(Return-Oriented

2、Programming，面向返回的編程)攻擊是一種全新的溢出攻擊方式。它通過調(diào)用系統(tǒng)內(nèi)存中已經(jīng)存在的二進制代碼短段(gadget)來構造一個圖靈完全的攻擊序列，可以實現(xiàn)繞過操作系統(tǒng)防范緩沖區(qū)溢出攻擊的重要保護機機制DEP(Data Execution Prevention，數(shù)據(jù)執(zhí)行保護)，給計算機系統(tǒng)和網(wǎng)絡帶來了極大的安全威脅。
　　 本文從緩沖區(qū)溢出的基本原理出發(fā)，首先分析和總結了緩沖區(qū)溢出攻擊中常用的攻擊方式與檢測技術，并對

3、Windows操作系統(tǒng)中引入的DEP和ASLR(Address Space Layout Randomization，地址空間配置隨機化)兩大防御策略及其相應的繞過方式進行了詳細的闡述；隨后介紹了ROP攻擊的常見攻擊方式，包括RILC(Return-into-libc，返回到系統(tǒng)庫函數(shù))攻擊、基于RET指令的攻擊、基于JMP指令的攻擊等。以此為基礎，又進一步對當前學術界提出的采用影子棧、ROPdefender、ROPscan等檢測方式實

4、施檢測的優(yōu)缺點進行了對比分析。
　　 基于以上分析結果，本文作者通過對ROP攻擊中所使用的shellcode代碼的特征的提取，總結出了ROP攻擊代碼應具備的三個重要特征：(1)ROP攻擊代碼中包含著有效內(nèi)存地址序列，且該序列中的有效內(nèi)存地址在攻擊代碼中的間距較小(即在ROP攻擊代碼中只包含有少量的參數(shù)和填充數(shù)據(jù)，其余均是有效內(nèi)存地址)；(2)ROP攻擊代碼一般會包含對實現(xiàn)繞過操作系統(tǒng)DEP保護的相關函數(shù)的調(diào)用指令；(3)ROP攻