檢測緩沖區(qū)溢出攻擊工具的設(shè)計(jì)與實(shí)現(xiàn).pdf

1、緩沖區(qū)溢出攻擊一直是系統(tǒng)安全的一大課題，續(xù)斷電腦病毒或蠕蟲病毒均利用此漏洞來損害許多操作系統(tǒng)。雖然當(dāng)前有許多相關(guān)研究針對(duì)此漏洞去防范，但真正被廣泛使用的方法很少，主要原因是，要與現(xiàn)在已寫好的可執(zhí)行代碼相容的方法很少。大多數(shù)的方法都需要修改軟件的源代碼重新編譯或?qū)浖\(yùn)行的操作系統(tǒng)作出修改，造成了大量的時(shí)間及人力的消耗，不利于連續(xù)性的軟件測試。
　　這篇論文以QEMU仿真器仿真硬件運(yùn)行，利用QEMU的動(dòng)態(tài)二進(jìn)制翻譯技術(shù)參照Smash

2、Guard采用在硬件內(nèi)建立額外的存儲(chǔ)棧檢測返回地址一致性的方式，使其在不修改軟件可執(zhí)行代碼的情況下，模擬其檢測緩沖區(qū)溢出攻擊機(jī)制。并基于故障注入技術(shù)實(shí)現(xiàn)模擬緩沖區(qū)溢出攻擊的函數(shù)熱補(bǔ)丁，實(shí)現(xiàn)一套從模擬攻擊到緩沖區(qū)漏洞檢測的測試系統(tǒng)。實(shí)驗(yàn)結(jié)果發(fā)現(xiàn)這個(gè)方法有它自身衍生出的問題，并分析其原因。為了解決這種測試系統(tǒng)也可能更改存儲(chǔ)棧中返回地址的問題，本篇論文提出逐級(jí)檢測的警告機(jī)制，除了檢測返回地址的一致性，還增加檢查返回地址的合法性。試驗(yàn)結(jié)果顯示這