shellcode攻击与防范技术

针对Windows系统环境下,攻击者通过shellcode代码威胁系统安全的问题,研究shellcode攻击与防范方法。分析shellcode代码的工作原理、攻击过程及多种变化,介绍新型Windows系统采用的GS和ASLR保护对shellcode攻击的防范机制,并通过实验验证其防范效果。结果证明,实施shellcode攻击需要一定的条件,而GS和ALSR可破坏这些攻击条件的形成,有效阻止攻击。

一种shellcode动态检测与分析技术

提出一种基于动态二进制平台DynamoRIO的shellcode模型识别与功能分析方法,并实现了基于该方法的原型系统.首先总结了shellcode利用技术,分析了shellcode动态执行特征,利用自动机理论,对shellcode各执行阶段进行了形式化的描述,并给出了各阶段相应的自动机模型及检测分析算法,据此归纳得到shellcode的一般执行模式;其次,提出了一种shellcode的API调用序列分析方法,根据API类型和参数,实现了对shellcode的功能分析.实验结果表明,该方法能够有效检测shell-code,识别执行模式,判定shellcode执行功能.该检测方法对高效检测shellcode、快速判明网络攻击意图和提高对网络攻击事件的响应能力具有重要的应用价值.

基于动态模拟的多态Shellcode检测系统

通过分析多态Shellcode的行为特征,提出基于动态模拟的判决准则。以此准则为核心,针对现有方法的性能和应用性较差的问题,设计并实现了一个基于动态模拟的多态Shellcode检测系统,其模块采用多种优化技术以提高系统性能。使用3.3GB实际网络数据和11000个多态Shellcode样本对原型系统进行实验,其虚警和漏警率均为0,提高了系统的吞吐量。

基于堆栈的Windows Shellcode编写方法研究

为更好地理解与防范缓冲区溢出攻击,对Windows平台下Shellcode的编写、提取技术及验证方法进行了研究。从概念出发,理清了Shellcode与Exploit的区别,分析了Shellcode的工作原理,介绍了利用Shellcode所需的3个步骤。在实验的基础上,总结了Shellcode的编写方法及提取技术,最后给出了验证Shellcode有效性的方法。

一种超椭球免疫理论启发的shellcode检测算法

为了解决特征码匹配技术对于未知或多态shellcode检测效率较低的问题,提出一种基于人工免疫系统的shellcode检测算法AIS-SDA.提取shellcode的静态和动态特征,通过反汇编获得汇编指令序列,通过模拟执行获得API函数调用序列,基于n-gram模型编码生成抗原.利用超椭球对免疫检测器编码提高非我空间覆盖率,检测器经历阴性选择算法的免疫耐受后成熟.对成熟检测器克隆和遗传变异,运用超椭球改变朝向、迁移中心和伸缩半轴等手段实现检测器的优化,生成更加优秀的抗体后代.最后,对收集的shellcode样本进行实验验证,结果表明,该方法对非编码和多态shellcode均具有较高的检测准确率.

Windows Shellcode自动构建方法研究

随着计算机技术的飞速发展,软件的规模及复杂程度在快速增加的同时也带来了极大的安全隐患,各种软件漏洞层出不穷,漏洞利用成为研究的热点。在漏洞利用的过程中,shellcode作为最关键的组件,其质量直接影响到漏洞利用的效果。针对已有的shellcode自动构建方法存在兼容性低、对大型shellcode支持性较差、自动化程度及易用性较低的缺点,文章提出一种Windows shellcode自动构建方法。该方法通过编写框架提供编程接口和编程环境,使编写者通过C语言编写shellcode,并将shellcode的编译、生成、提取、测试以及编码和优化过程进行整合,实现x86/x64平台Windows shellcode的自动构建。文章对基于该方法实现的原型系统进行了验证,结果表明,系统在兼容性、可靠性、自动化性能方面均有较好表现,能够利用系统顺利完成shellcode的构建任务,具有较高的实际应用价值。

典型Shellcode引擎特征检测方法研究

通用的shellcode引擎大都采用特定运算对shellcode进行编码,使得shellcode具有规避传统的代码特征检测系统的能力。为了检测具有规避传统检测能力的shellcode,深入分析目前典型shellcode引擎的工作原理,在此基础上研究引擎产生shellcode的代码特征和行为特征,进而提出了基于这两类特征的针对性综合检测方法。实验结果表明,这种综合检测方法可以针对性地、有效地检测并阻止这类shellcode的执行,同时对其它shellcode也能实现一定程度上的检测,而且虚警和漏警率为0。该检测系统对恶意代码的检测具有一定的应用价值。

图书馆局域网缓冲区溢出之shellcode原理分析

为更好预防和检测缓冲区溢出漏洞,我们必须深入了解缓冲区溢出漏洞的关键技术—shellcode的编写原理,因为shellcode编写的成败决定了缓冲区溢出漏洞攻击的成败。本文对shellcode攻击原理进行了深入分析,目的是为更有效的防治缓冲区溢出漏洞的攻击。

缓冲区溢出攻击原理及ShellCode的构造

缓冲区溢出是一种常见的网络安全漏洞,可以对计算机操作系统,应用软件造成巨大的威胁。通过缓冲区溢出攻击,网络黑客可以远程执行恶意代码,甚至获得主机的控制权,从而开始各种非法操作。该文分析了缓冲区溢出漏洞的产生原因及其原理,结合具体代码介绍了ShellCode的构造方法。

基于shellcode检测的缓冲区溢出攻击防御技术研究

缓冲区溢出攻击对计算机和网络安全构成极大威胁。从缓冲区溢出攻击原理和shellcode实现方式出发,提出针对shellcode的溢出攻击防御技术。描述shellcode获取控制权前后,从代码特点、跳转方式及shellcode恶意功能实现过程等方面入手,检测并阻止shellcode以对抗溢出攻击的几种技术。最后对这些技术的优缺点进行比较分析,指出其中较为优秀的方法,并就更全面提高系统安全性提出了一些建议。

一种基于双模式虚拟机的多态Shellcode检测方法

近年来,Shellcode攻击通常利用多态技术进行自我加密来绕过网络层设备的检测,而现有检测方法无法区分多态Shellcode与加壳保护代码.提出了一种基于双模式虚拟机的多态Shellcode检测方法,该方法改进了现有的GetPC定位机制,实现了Shellcode的初步定位,通过IA-32指令识别对网络流量的进行进一步过滤,利用有限自动机及其判别条件实现虚拟机控制流模式和数据流模式之间的切换,并通过结合现有的特征匹配技术实现对多层加密的多态Shellcode的检测.实验结果表明,针对大量真实的网络数据,该方法在保证高检测召回率的同时,能够实现对多态Shellcode与加壳保护软件的有效区分,避免了对正常流量的误报行为,并且时间开销介于静态分析与动态模拟之间,为网络层检测多态Shellcode提供了一种有效方法.

Shellcode静态检测技术研究

缓冲区溢出攻击是网络安全的重大威胁,事先检测是否存在Shellcode是对抗缓冲区溢出攻击的有效手段。从Shellcode构成和特征出发,分类研究各种Shellcode静态检测技术,分析比较它们的优缺点,在此基础上提出了一种检测方案并实现了一个原型系统。

基于人工免疫理论的shellcode检测方法

Shellcode是缓冲区溢出漏洞攻击的核心代码部分,往往嵌入到文件和网络流量载体中。针对特征码匹配等检测手段存在时间滞后、准确率低等问题,结合人工免疫理论,提出一种采用实值编码的shellcode检测方法。收集shellcode样本并进行反汇编,利用n-gram模型对汇编指令序列提取特征生成抗原,作为免疫系统未成熟检测器来源,之后经历阴性选择算法的免疫耐受过程生成成熟检测器。对检测器进行克隆和变异,繁衍出更加优良的后代,提高检测器的多样性和亲和度。实验结果表明,该方法对非编码shellcode和多态shellcode均具有较高的检测准确率。

纯字母数字Shellcode加密技术的分析与实现

在一些大型程序中,比如Word、Excel考虑到不同语言平台的差异性,都会使用Unicode编码,在利用这些漏洞的时候,我们以往的Shellcode就难以适用了。一个普通的Down&Exec的Shellcode经过MultiByteToWideChar函数转换编码成Unicode后就会出现乱码,为解决这个问题,引入纯字母数字加密技术。将Shellcode分成解码头+主体两部分,解码头是以纯字符的指令组成的,主体以某种算法拆分成两个字节。解码头取得控制权以后还原Shellcode并执行。

多态shellcode动态检测与特征提取

提出了多态shellcode动态检测和特征提取模型:基于模拟执行和动态检测技术,可以有效发现多态shellcode变种和未知攻击方式并生成特征码;基于模拟执行网络代码并以GetPC code和循环解密操作作为行为特征检测网络数据流,对相似可疑数据流进行聚类并提取字节序列特征.实验结果验证了该模型的可行性和有效性.

基于缓冲区溢出攻击的shellcode编码技术研究

缓冲区溢出是一种非常普遍的漏洞,在各种操作系统、应用软件中广泛存在。利用缓冲区溢出攻击,不仅可以修改内存中变量的值导致程序运行失败、系统重启等后果,甚至可以劫持进程,执行恶意代码,最终获得主机的控制权。本文对缓冲区溢出攻击作出概述,研究了几种shellcode的编码方法,对研究内容进行了举例演示及分析。

基于shellcode静态虚拟执行的文档类漏洞恶意代码取证技术研究

文档类漏洞使用shellcode恶意代码来达成攻击目的。现有的检测取证技术依赖漏洞库和漏洞触发条件下的动态跟踪,对多态shellcode和0day检测效果不理想。文章提出一种静态虚拟代码执行取证方法,可以在不打开和不破坏文档的情况下检测恶意代码的存在与执行功能。该方法通过对文档格式的解析,建立静态代码模拟执行系统,可以有效对文档类漏洞进行取证分析。

一种基于动态行为映射模型的shellcode检测方法

提出了一种基于动态模拟执行的shellcode分析与检测方法。该方法针对当前自修改和分段执行类shellcode的特点,建立动态行为映射模型严格刻画了shellcode模拟动态行为过程特征,给出了关于自修改和分段执行类shellcode的行为轨迹序列,然后设计了基于有限状态自动机的快速检测算法并实现了原型系统。实验结果表明,该方法能够有效检测当前自修改与分段执行类shellcode,并且与现有主流shellcode检测工具相比,可以达到较好的检测效果。

基于BP神经网络的shellcode检测

缓冲区溢出攻击仍是目前主要的安全问题,而shellcode技术又是其核心技术。现在多数的NIDS加入了对shellcode的检测功能,用以检测缓冲区溢出攻击。但是随着shellcode变形技术的出现,隐藏了大量的特征使得传统的匹配检测手段失效。本文提出一种基于BP神经网络的检测引擎用于检测变形shellcode,试验证明具有较好的检测效果。

基于shellcode分析缓冲区溢出攻击

缓冲区的本质是内存中的一个片段,它用于暂时存放输入与输出的数据或者代码。缓冲区溢出是一种非常危险的漏洞,在各种应用软件及操作系统中广泛存在。如果攻击者发现目标主机存在缓冲区溢出漏洞,攻击者会利用该漏洞,执行恶意代码,最终获取被攻击主机的控制权,窃取有价值的信息。文章利用实际案例讲解shellcode的形成过程,分析缓冲区溢出攻击发生的危害及原因。