通过交叉验证堆栈和VAD信息检测Windows代码注入

Windows 32/64位代码注入攻击是恶意软件常用的攻击技术,在内存取证领域,现存的代码注入攻击检测技术在验证完整性方面不能处理动态内容,并且在解析内存中数据结构方面无法兼容不同版本的Windows系统。因此提出了通过交叉验证进程堆栈和VAD信息定位注入代码方法,将基于遍历栈帧得到的函数返回地址、模块名等信息结合进程VAD结构来检测函数返回地址、匹配文件名以定位注入代码,并且研发了基于Volatility取证框架的Windows代码注入攻击检测插件codefind。测试结果表明,即使在VAD节点被恶意软件修改,方法仍能够有效定位Windows 32/64位注入代码攻击。

HOOK API时代码注入方法和函数重定向技术研究

HOOK API是一种高级编程技术,在介绍Windows HOOK技术的基础上,阐述了HOOK API技术的概念,分析了HOOKAPI技术的实现原理,给出了三种实现HOOK API技术时的代码注入方法,即使用钩子注入DLL、使用注册表注入DLL及使用远程线程注入DLL。探讨两种实现HOOK API技术时的函数重定向技术,即利用PE文件中的导入表实现函数的重定向及通过嵌入汇编代码实现函数的重定向。

防御代码注入式攻击的字面值污染方法

当前几乎所有的Web应用程序都面临着诸如跨站脚本(XSS)和SQL注入等代码注入式攻击的威胁,这种威胁源自于程序对用户输入缺乏验证和过滤,导致恶意输入可作为数据库查询或页面中的脚本而执行,从而破坏网站的数据完整性,泄露用户隐私.为了增强应用程序对此类攻击的抵抗性,提出一种针对Web程序的字面值污染方法,该方法能够对代码注入式攻击给予高效的防御且十分易于部署.此方案通过强化服务器端脚本配合可自定义的安全过滤策略,达到对此类攻击的完全免疫.尽管需要对Web应用程序进行插桩等修改,但该过程是完全自动化和正确的,在处理大规模的程序时具有很强的实用价值.通过实现该技术的原型系统PHPHard对若干PHP应用程序的初步实验,可以发现该方法能够移除恶意脚本,成功阻止跨站脚本的攻击.与传统方法相比,它在精确度和有效性上具有优势,且仅引入了很小的开销.

基于指令集随机化的代码注入型攻击防御技术

针对当前代码注入型攻击防御机制容易被绕过的现状,提出一种基于指令集随机化的防御技术。该技术制定了指令集随机化规则,利用该规则改变obj文件中的指令,从而实现了指令集的随机化。外部注入代码与生成的指令集不兼容,经过动态二进制分析平台翻译后,程序代码正常执行而注入代码变为乱码。基于该技术设计了一套原型系统,并通过大量实验表明可以防御大部分代码注入型攻击。该技术打破了缓冲区溢出漏洞利用所需要的稳态环境,实现了对攻击的主动防御。

利用核心态钩挂技术防止代码注入攻击

为防止代码注入攻击,利用钩挂技术来监视有关的API函数调用十分必要。由于W indows NT系统中存在着严格的进程隔离机制,此种钩挂要在核心态下才有效。提出并讨论了实现此种技术的一种简便的方法。实践表明,在W indows XP系统条件下,利用它能够成功阻止木马利用代码注入实现攻击。

代码注入攻击及防御技术研究

分析了Windows系统下代码注入攻击技术,提出了基于Detours技术挂钩装载动态链接库函数的防御方案,并介绍了具体实现方法.

基于Fuzzy-IBE的Android防恶意代码注入方案

为了防范Android恶意代码的注入,提升APK的安全性,抵御对其认证文件的碰撞攻击,基于Fuzzy-IBE设计了一种Android防恶意代码注入方案。该方案利用APK自身的多个资源文件作为APK的属性信息,并将属性进行Hash处理,映射为Fuzzy-IBE的解密私钥,防止了恶意攻击者对APK的注入,同时优化了应用程序的内部结构,减少了应用的体积。实验结果表明,该方案对于防止恶意代码注入是有效的。

Web应用中代码注入漏洞的测试方法

研究Web应用中的代码注入漏洞,总结分析该类漏洞的特征,修正并扩展其定义,把漏洞的产生原因归纳为2类编码错误。提出一套通过识别2类编码错误发现Web应用中代码注入漏洞的测试方法。实验结果证明,该方法可减少测试工作量,能全面有效地测试Web应用中的代码注入漏洞和潜在的风险点。

基于动态代码注入的故障注入技术

基于软件实现的故障注入技术,其优点是对于注入故障及其传播有较高可控性和可观测性。然而在实际的故障注入应用中,为了获得更高的可控性,存在时间的利用效率比较低的现象。这主要涉及到即时故障注入时刻的识别问题。文章介绍一种名为Code Cave的故障注入方法,它可以实现在测试运行时进行软件的动态代码注入。注入的代码在被测试的应用程序的上下文中执行,在预计时刻精确地捕获应用程序。与以往的实验结果相比,它能够减少近一半的实验时间。

基于指令集随机化的抗代码注入攻击方法

代码注入攻击是应用程序面临的一种主要安全威胁,尤其是Web应用程序,该种攻击源于攻击者能够利用应用程序存在的漏洞/后门,向服务器端注入恶意程序并执行,或者利用应用程序对用户输入的参数缺乏验证和过滤,造成输入作为恶意程序执行,从而达到攻击目的。源程序分析和输入规则匹配等现有防御方法在面对代码注入攻击时都存在着固有缺陷,为了提高Web应用程序对于代码注入攻击的防御性,提出一种基于指令集随机化的抗代码注入方法,该防御方法不依赖于攻击者采用何种攻击方式,能够抵御未知的代码注入攻击。基于该技术及动态、冗余构造方法,设计一套原型系统,采用广义随机Petri网(Generalized Stochastic Petri Net,GSPN)建模计算,攻击者即使在获得随机化方法先验知识的情况下也极难突破系统的防御机制。尽管该方法需要对应用程序源代码进行随机化变换,但处理过程是完全自动化和具有普适性的,通过实验和现网测试表明该方法能够有效抵御大部分代码注入攻击,实现了对攻击的主动防御。

基于机器学习的Android混合应用代码注入攻击漏洞检测

Android混合应用具有良好的跨平台移植性,但其使用的WebView组件中的HTML和JavaScript代码能够通过内部或外部通道调用数据来访问相关资源,从而产生代码注入攻击漏洞.针对这个问题,提出一种基于机器学习的Android混合应用代码注入攻击漏洞检测方法.首先,通过反编译Android混合应用,将其进行代码分片;然后,提取出与Android混合应用申请的敏感权限和能够触发数据中恶意代码的API,组合起来生成特征向量;最后,构建多种机器学习模型进行训练和分类预测.实验结果表明,随机森林模型的识别准确率较高,能够提高Android混合应用代码注入攻击漏洞检测的准确性.

Android应用的恶意代码注入

本文分析了Android应用文件和Android系统广播机制的特点,介绍了一种基于SDK的Android应用恶意代码注入的方法,并且用该方法测试了30款Android应用,通过实验说明了Android应用软件缺少防止恶意注入的安全机制。

一种基于代码注入的反漏洞挖掘方法

以模糊测试为核心的漏洞挖掘技术在目前众多漏洞挖掘技术中应用范围最广、实际挖掘效果最为显著。为对抗该类挖掘技术,提出一种基于代码注入的反漏洞挖掘方法,首先通过静态分析识别目标程序的导入导出表、低频和高频路径,明确调用关系;然后将目标程序转化为统一的中间表示;最后分别在低、高频路径函数中注入预先设计的伪代码块,注入的伪代码块可以达到降低模糊测试器执行效率、阻断异常监控、干扰覆盖率统计3个目的,实现漏洞挖掘技术的对抗。采用公开测试集和主流模糊测试器进行验证测试,结果表明该方法可以有效降低模糊测试器的执行效率,干扰覆盖率反馈和异常捕获机制,同时对正常用户的负载增加在可接受的范围内。

面向数字货币特征的细粒度代码注入攻击检测

数字货币的迅速发展使其被越来越多的恶意软件利用.现有勒索软件通常使用数字货币作为支付手段,而现有代码注入攻击检测手段缺乏对相关恶意特征的考虑,使得其难以有效检测勒索软件的恶意行为.针对此问题,提出了一种细粒度的代码注入攻击检测内存特征方案,利用勒索软件在引导被攻击者支付过程中表现的数字货币内存特征,结合多种通用的细粒度内存特征,实现了一种细粒度的代码注入攻击检测系统.实验结果表明:新的内存特征方案能够在多个指标上有效提升现有检测系统内存特征方案的检测性能,同时使得基于主机的代码注入攻击检测系统能够准确检测勒索软件行为,系统还具有较好的内存特征提取性能及对未知恶意软件家族的检测能力.

基于代码注入的反模糊测试技术

现代灰盒模糊测试器可以通过从程序内部获取信息反馈,可以在短时间内发现大量漏洞。但是如果这项技术被滥用,将对企业和用户造成极大的伤害。为了避免软件程序被随意分析,反模糊测试技术应运而生。然而,现有的反模糊测试技术存在效率低、开销大、效果不理想、使用困难等问题。为了解决此类问题,本文提出了一种基于代码注入的新型反模糊测试技术。本文方法主要针对现代模糊测试器常用的插桩技术,利用插桩技术的局限,使用代码注入的方式绕过模糊测试器的信息检测,从而干扰模糊测试器分析目标程序,最终达到阻止模糊测试器工作的目的。为验证这种新型反模糊测试技术的有效性与处理性能,本文将该方法与当前最先进的反模糊测试技术作用于同一程序并进行比较。结果表明,本方法可以以更小的程序体积和更低程序运行开销来阻止不同的模糊测试器对目标程序进行模糊测试。

核电DCS系统软件防恶意代码注入的研究

为了保障核电DCS系统的网络安全,通过对核电DCS系统中软件的特性的分析和对利用软件漏洞注入、注入程序、注入软件进程和利用软件陷阱门等多种恶意代码注入方式的攻击和检测的技术手段的研究,提出在核电DCS系统软件全生命周期防恶意代码注入的综合方案,包括安全策略、技术措施以及检测和分析的工具。

基于SQL注入的渗透性测试技术研究

为了提高数据库系统的安全性,及时发现、防范网站中可能存在的SQL注入漏洞,分析了基于SQL注入的渗透性测试技术,在此基础上提出了渗透性测试的原型系统,给出了主要的功能,通过对动网论坛的渗透性测试分析比较了原型系统的效能。实验表明,该原型系统能较好发现系统的SQL注入的脆弱点,从而帮助管理员提升系统的安全性。

浅析软件安全中的注入技术

结合目前软件安全现状,详细介绍了DLL注入技术和代码注入技术的基本原理和实现方法;比较了不同注入技术之间的差别和优缺点;归纳了针对DLL注入技术可采用的防御措施及业界的研究成果;指出了未来Android系统安全的可研究方向。

SQL注入漏洞攻击与防御方式浅析

SQL注入是一种常见的Web应用攻击方式。黑客通过精心构造的URL参数,或者表单提交的参数,拼接到预先定义好的SQL格式,意外地改变了程序员预期的SQL结构时,SQL注入就构成了。本文描述了SQL注入原理及常见的SQL注入利用方式,同时着重分析了绕过用户验证和构造注入代码的过程,最后给出了针对SQL注入利用提出了相应的防御方法。

无线网络对抗关键技术研究综述

在分析无线网络的安全特点和面临安全威胁的基础上,将无线网络对抗分为3个层次:信号层、协议层和系统层。分析了三层之间的相互依赖关系,指出了各层对抗的具体目标,建立了总体研究框架,并按照"攻击"与"防御"两个方面阐述了研究内容,梳理了当前各层次对抗的关键技术研究现状,对重点的研究领域进行了评价,分析了其中存在的问题和研究的难点。最后指出了未来无线网络对抗的需要进一步研究的热点问题和发展趋势。