欢迎来到天天文库
浏览记录
ID:53029005
大小:1.00 MB
页数:6页
时间:2020-04-14
《基于地址完整性检查的函数指针攻击检测-论文.pdf》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、JournalofComputerApplicationsISSN1001.90812015.02.1O计算机应用,2015,35(2):424—429CODENJYIIDUhttp://www.joca.ca文章编号:1001—9081(2015)02—0424—06doi:10.11772/j.issn.1001—9081.2015.02.0424基于地址完整性检查的函数指针攻击检测代伟,刘智,刘益和(I.内江师范学院计算机科学学院,四川内江641112;2.电子科技大学计算机科学与工程学院,成都611731)(通信作者电子邮箱roodaiwei@hotmail.corn)摘要:针
2、对传统函数指针攻击检测技术无法检测面向返回编程(ROP)攻击的问题,提出了一种基于跳转地址完整性检查的新方法,在二进制代码层面能够检测多种类型的函数指针攻击。首先,通过静态分析得到函数地址信息,然后动态检查跳转目标地址是否位于合法函数区间。分析了非入口点跳转,提出一种动静结合方法检测ROP攻击。基于二进制代码插桩工具实现原型系统fpcheck,对真实攻击和正常程序进行了测试。实验结果表明fpcheek能够检测包括ROP在内的多种函数指针攻击,通过准确的检测策略,误报率显著下降,性能损失相比原始插桩仅升高10%一20%。关键词:缓冲区溢出;面向返回编程;非入口点跳转;动态分析;二进制代码
3、插桩中图分类号:TP309;TP31l文献标志码:AFunctionpointerattackdetectionwi廿laddressintegritycheckingDAIWei.LIUZhi.LIUYihe(1.CollegeofComputerScience,Ne~iiangNormalUnive~ity,Ne~angSichuan641112,China;2.SchoolofComputerScienceandEngineering,UniversityofElectronicScienceandTechnologyofChina,ChengduSichuan611731,Ch
4、ina)Abstract:TraditionaldetectiontechniquesoffunctionpointerattackcannotdetectReturn—Oriented—Programming(ROP)attack.Anewapproachbycheckingtheintegrityofjumpaddresswasproposedtodetectavarietyoffunctionpointerattacksonbinarycode.First,functionaddresswasobtainedwithstaticanalysis,andthentargetaddr
5、essesofjumpinstructionswerecheckeddynamicallywhethertheyfellintoallowedfunctionaddressspace.Thenon—entryfunctioncallwasanalyzed,basedonwhichanewmethodwasproposedtodetectROPattackbycombiningstaticanddynamicanalysis.Theprototypesystemnamedfpcheckwasdevelopedusingbinaryinstrumentationtool,andevalua
6、tedwithreal—worldattacksandnon~nalprograms.TheexperimentalresultsshowthatfpcheckcandetectvariousfunctionpointerattacksincludingR0P,thefalsepositiveratereducessubstantiallywithaccuratepolicies,andtheperformanceoverheadonlyincreasesby10%to20%comparedwithvanillainstrumentation.Keywords:bufferoverfl
7、ow;Return—Oriented-Programming(ROP);non—entryfunctioncall;dynamicanalysis;binaryinstrumentation攻击代码执行方面,传统技术有普通shellcode与面向0引言libc库(return-to—libc)两种,目前已有成熟技术对其防御。缓冲区溢出是漏洞攻击最常采用的手段,被溢出的数据面向返回编程(Return—Oriented—Programming,RO
此文档下载收益归作者所有