基于編譯置換的指令隨機(jī)化技術(shù)研究.pdf

1、指令集隨機(jī)化技術(shù)是一種通過(guò)隨機(jī)變換程序指令編碼來(lái)抵御代碼注入攻擊的新型防御技術(shù)，改變了傳統(tǒng)安全防御易攻難守的被動(dòng)局面，實(shí)現(xiàn)了對(duì)已知和未知代碼注入型漏洞攻擊的主動(dòng)可控防御。為了擺脫現(xiàn)有指令集隨機(jī)化技術(shù)存在的編碼難、安全性差和性能損耗大等問(wèn)題，本文對(duì)低開銷、高安全、實(shí)用性強(qiáng)的新型指令隨機(jī)化技術(shù)開展研究，提出一種基于編譯置換的指令隨機(jī)化技術(shù)。
　　本文首先研究注入代碼（ShellCode）的構(gòu)造原理，提取出ShellCode執(zhí)行的三種模

2、式，選取ShellCode必要指令作為隨機(jī)化對(duì)象，在不降低防御效果的同時(shí)減少了隨機(jī)化指令的數(shù)量；設(shè)計(jì)隨機(jī)化指令映射規(guī)則生成器，在編譯過(guò)程中實(shí)現(xiàn)關(guān)鍵指令的隨機(jī)置換，提高了指令隨機(jī)化編碼的精確度；最后基于動(dòng)態(tài)二進(jìn)制分析平臺(tái)實(shí)現(xiàn)了一個(gè)運(yùn)行環(huán)境，支撐隨機(jī)化程序的動(dòng)態(tài)解碼與執(zhí)行，可以實(shí)現(xiàn)對(duì)攻擊的感知與動(dòng)態(tài)決策，為該環(huán)境添加內(nèi)存保護(hù)策略，防御針對(duì)動(dòng)態(tài)二進(jìn)制分析平臺(tái)的攻擊。
　　本文設(shè)計(jì)并實(shí)現(xiàn)了一套基于編譯置換的指令隨機(jī)化原型系統(tǒng)CIRE（Co

3、mpiled Instruction Randomization Emulation），其關(guān)鍵技術(shù)包括：給出一種基于ShellCode執(zhí)行模式的隨機(jī)化指令選擇方法，設(shè)計(jì)指令隨機(jī)化規(guī)則生成算法；設(shè)計(jì)指令隨機(jī)化分析框架，完成編譯階段指令的置換工作；研究函數(shù)單元指令定位技術(shù)，通過(guò)內(nèi)嵌反匯編器得到指令在函數(shù)單元內(nèi)的偏移；研究編譯階段指令隨機(jī)置換技術(shù)，在編譯過(guò)程中實(shí)現(xiàn)部分指令的隨機(jī)置換；研究并實(shí)現(xiàn)了基于DynamoRIO的隨機(jī)化程序動(dòng)態(tài)執(zhí)行技術(shù)，

4、對(duì)隨機(jī)化指令進(jìn)行還原使程序正常執(zhí)行；實(shí)現(xiàn)了動(dòng)態(tài)二進(jìn)制分析平臺(tái)的內(nèi)存保護(hù)技術(shù)，阻止攻擊者利用動(dòng)態(tài)二進(jìn)制分析平臺(tái)漏洞對(duì)程序進(jìn)行攻擊；實(shí)現(xiàn)了攻擊感知技術(shù)，可以智能感知惡意代碼的攻擊，并對(duì)被隨機(jī)化的ShellCode指令進(jìn)行流向分析。測(cè)試時(shí)利用Metasploit攻擊CIRE保護(hù)的軟件，同時(shí)計(jì)算ShellCode指令隨機(jī)化率和時(shí)間開銷，結(jié)果表明，CIRE完全防御了Metasploit中的200個(gè)ShellCode的攻擊，且平均性能損耗<15％。