二进制代码级函数指针攻击机理与检测研究

尽管有许多防御和保护机制已经被引入到现代操作系统中,但内存泄漏漏洞仍然对软件系统和网络安全造成巨大威胁.对于返回导向式编程ROP攻击(Return Oriented Programming)通常利用缓冲区溢出漏洞改写函数的返回地址,而函数指针在c/c++中普遍存在,比如struct结构体和虚函数中都含有大量的函数指针.本文通过实验表明了覆盖函数指针发起的ROP攻击是存在的并且提出fpDetect检测方法用来检测这种攻击.采取二进制代码插桩技术与动态检测相结合,大大提高了检测的准确性.通过实验证明了fpDetect检测方法可以应用在Linux和windows操作系统中.

一种面向二进制的细粒度控制流完整性方法

控制流完整性是预防控制流劫持攻击的安全技术。出于性能开销的考虑,多数现有的控制流完整性解决方案为粗粒度的控制流完整性。文中提出一种面向二进制的控制流完整性保护方案Bincon。通过静态分析从二进制程序中提取控制流信息,在控制流发生转移处植入检验代码,根据静态分析的数据判断控制流转移的合法性。针对间接函数调用,分析目标二进制并根据参数寄存器和函数返回值寄存器的状态信息重构函数原型和调用点签名,通过限制间接函数调用点只调用类型兼容的函数来有效地降低间接调用指令合法目标的数量。与基于编译器的方案Picon对比,所提方法在无源码前提下能有效地控制精度损失,并显著减少了时间开销。

基于地址完整性检查的函数指针攻击检测

针对传统函数指针攻击检测技术无法检测面向返回编程（ROP）攻击的问题,提出了一种基于跳转地址完整性检查的新方法,在二进制代码层面能够检测多种类型的函数指针攻击。首先,通过静态分析得到函数地址信息,然后动态检查跳转目标地址是否位于合法函数区间。分析了非入口点跳转,提出一种动静结合方法检测ROP攻击。基于二进制代码插桩工具实现原型系统fpcheck,对真实攻击和正常程序进行了测试。实验结果表明fpcheck能够检测包括ROP在内的多种函数指针攻击,通过准确的检测策略,误报率显著下降,性能损失相比原始插桩仅升高10%~20%。