基于動(dòng)態(tài)二進(jìn)制探測(cè)框架的緩沖區(qū)溢出檢測(cè)研究.pdf

1、緩沖區(qū)溢出是常見(jiàn)的程序漏洞。近二十年來(lái),利用緩沖區(qū)溢出的攻擊行為越來(lái)越多,給用戶造成巨大的損失。相對(duì)的,對(duì)緩沖區(qū)溢出檢測(cè)的研究以及對(duì)防御利用緩沖區(qū)溢出的攻擊行為的研究也越來(lái)越廣泛、深入。目前有多種防御緩沖區(qū)溢出的工具,由于研究方法上的限制,導(dǎo)致這些工具大多具有以下兩個(gè)缺點(diǎn)：需要源代碼的支持；只能針對(duì)某種類型的緩沖區(qū)溢出攻擊,不具有普遍性。為了解決現(xiàn)有緩沖區(qū)溢出防御的兩個(gè)缺點(diǎn),本文提出了綜合運(yùn)用動(dòng)態(tài)二進(jìn)制探測(cè)方法和污點(diǎn)分析方法構(gòu)造緩沖區(qū)溢

2、出防御工具的研究?jī)?nèi)容。動(dòng)態(tài)二進(jìn)制探測(cè)方法是指在二進(jìn)制代碼的層面上,加入分析程序行為的探測(cè)代碼,收集并分析程序行為的一種方法。動(dòng)態(tài)二進(jìn)制探測(cè)方法不需要源代碼的支持,能夠很好的支持商用軟件和遺留代碼,打破了現(xiàn)有緩沖區(qū)溢出檢測(cè)工具中需要源代碼支持的局限。為提高效率,大部分的動(dòng)態(tài)二進(jìn)制探測(cè)工具都是在動(dòng)態(tài)二進(jìn)制探測(cè)框架的基礎(chǔ)上進(jìn)行開(kāi)發(fā)的。污點(diǎn)分析的方法是指將程序中使用的數(shù)據(jù)分為被污染的和未被污染的兩類,在程序運(yùn)行的過(guò)程中,控制數(shù)據(jù)的污染屬性,當(dāng)非

3、法使用被污染的數(shù)據(jù)時(shí),則斷言攻擊行為存在的一種方法。污點(diǎn)分析的方法主要包括污染源的確定、污染屬性的傳遞、被污染數(shù)據(jù)非法使用的判定三個(gè)步驟。它能夠檢測(cè)出各種類型的緩沖區(qū)溢出攻擊,具有普適性。本研究以動(dòng)態(tài)二進(jìn)制探測(cè)方法和污點(diǎn)分析方法為指導(dǎo),在動(dòng)態(tài)二進(jìn)制翻譯系統(tǒng)Crossbit基礎(chǔ)上構(gòu)建了動(dòng)態(tài)二進(jìn)制探測(cè)框架CrossIF,并在此基礎(chǔ)上實(shí)現(xiàn)了防御緩沖區(qū)溢出的動(dòng)態(tài)二進(jìn)制探測(cè)工具BufferSafeTy。通過(guò)實(shí)例驗(yàn)證BufferSafeTy的功能,