欢迎来到天天文库
浏览记录
ID:36714383
大小:1.96 MB
页数:58页
时间:2019-05-14
《ROP攻击及其变种的检测技术》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、DetectionofReturn..OrientedProgrammingattackanditsvariantPresentedbyHanHaoCo-SupervisedbyProf.XIELiandProf.MAOBingAthesissubmittedtotheGraduateSchoolofNanjingUniversityfortheDegreeofMasterDepartmentofComputerScienceandTechnologyNanjingUniversityNanjing
2、,May2011声明本人声明所呈交的论文是我个人在导师指导下、在南京大学及导师提供的研究环境(含标明的项目资助)下作为导师领导的项目组项目整体的组成部分而完成的研究工作及取得的研究成果。除了文中特别加以标注和致谢的地方外,论文中不包含其他人已经发表或撰写过的研究成果。与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明确的说明并表示了谢意。南京大学及导师所有权保留:送交论文的复印件,允许论文被查阅和借阅;公布论文的全部或部分内容;可以采用影印、缩印或其它复制手段保存该论文。学生签名:锄÷蛎/日
3、期:土。胪岁7;口导师签名:著乞吼DeclarationImakeadeclarationherethatthethesissubmittediScomposedoftheresearchingworkbymyselfanditscorrespondingresearchingresultsfinishedasaconstituentpartofthewholeprojectintheprojectteamleadedbymyadvisor.Thethesisiscompletedwiththegu
4、idanceofmyadvisor,andundertheresearchingcircumstancesofferedbyNanjingUniversityandmyadvisor(includingtheprojectsupportindicated).Thethesisdoesnotincludeotherpeople’Sresearchingresultseverpublishedorcomposed,exceptthatarespeciallyannotatedandacknowledge
5、dsomewhereinthearticle.Anycontributionmadetotheresearchbymyworkingpartnersisdeclaredexplicitlyandacknowledgedinthethesis.NanjingUniversityandtheadvisorretainthecopyrightasfollows:submittingthecopiesofthethesis,allowingthethesistobeconsultedandborrowed;
6、publicizingthewholeorpartofthethesis’content;keepingthethesisbyphotocopy,microcopyorothercopymethods.A咖似gIl栅e:砌比口娥:山17-多巾AdvisorSignature:Date:摘要ROP(Retum.orientedprogramming)是一种全新的攻击方式,它利用代码复用技术.攻击者扫描已有的动态链接库和可执行文件,提取出可以利用的指令片段(gadget),这些指令片段均以ret指令结尾
7、,即用ret指令实现指令片段执行流的衔接.最初ROP攻击实现在x86体系结构下,随后扩展到各种体系结构.与以往攻击技术不同的是,ROP恶意代码不包含任何指令,将自己的恶意代码隐藏在正常代码中.因而,它可以绕过WoX的防御技术.但是,ROP也有其不同于正常程序的内在特征:(1)ROP控制流中,call和ret指令不操纵函数,而是用于将函数里面的短指令序列的执行流串起来,但在正常的程序中,call和ret分别代表函数的开始和结束;(2)ROP控制流@jmp指令在不同的库函数甚至不同的库之间跳转,攻击者抽
8、取的指令序列可能取自任意一个二进制文件的任意一个位置,这很不同于正常程序的执行.比如,函数中部提取出的jmp短指令序列,可将控制流转向其他函数的内部;而正常程序执行的时候jmp指令通常在同一函数内部跳转.本文深入分析研究各种指令片段的特性,ROP攻击及其变种的内在本质与不正常行为.基于这些发现,我们提出新的检测方法:首先,鉴于我们检测系统只关注动态链接库,故先通过分析程序的ELF头文件,得到动态链接库加载的基址;再通过IDA进行库静态分析,得到库中每个函数相对的起始地
此文档下载收益归作者所有