缓冲区溢出攻击的动态检测与防范

缓冲区溢出是被黑客利用得最多的漏洞之一,为了对其进行动态的检测及防范,提出了一种基于地址认证的缓冲区防护(Authentication-Guard)技术.该技术通过修改编译代码,动态检测缓冲区是否发生溢出,对返回地址进行保护,避免了恶意代码的运行.利用该技术,攻击者无法利用计算缓冲区长度来绕开检测,同时也避免了返回地址不可预知的问题.

一种抗地址淹没的缓冲区栈溢出算法

缓冲区溢出是常见的网络漏洞攻击,其中最重要的是栈溢出攻击。通过分析缓冲区溢出攻击的方法和特点,提出一种基于Stack Shield改进的Ret Protect算法。首先利用IDA Pro对源程序反汇编分析,然后建立新的库函数,并通过修改GCC源代码来实现程序执行时对函数返回地址的备份的方法来检测缓冲区溢出攻击的发生。与其他栈溢出攻击检测方法相比,Ret Protect算法可有效地阻止对返回地址进行淹没的栈溢出攻击,对用户透明,系统兼容性好。

C++函数的参数传递和返回值问题的教学研讨

C++是计算机专业的一门基本程序设计语言课程,函数是理解C++语言的重要基础。而C++中函数的参数传递和返回值内容是一个重要而难讲解的内容。笔者系统地分析了函数参数传递中值调用和引用调用以及函数值返回和引用返回的本质,并举例进行了说明。最后给出了讲授这部分内容的一些经验和方法。

利用返回地址保护机制防御代码复用类攻击

尽管现有多种防御方法和技术,但是针对软件系统和网络的攻击仍然是难以防范的威胁。在引入只读/写和地址空间随机化排列方法后,现代操作系统能有效地应对恶意代码注入类型的攻击。但是攻击者可以利用程序中已经存在的代码,将其组装成具有图灵完全计算功能的连续的代码块,用以绕过已有的防御机制。针对代码复用类攻击防御方法的局限性,提出了一种利用返回地址实时保护机制的防御方法,以有效防御代码复用类攻击,特别是ROP攻击。在程序运行时,通过对其栈中返回地址值的加密保护和实时检测,防止所有的以0xC3字符(即ret指令)结尾的短序列代码段的连续执行。该方法不需要源代码和调试信息,能完全防御ROP攻击,并且其性能开销也具有明显的优势。

一种缓冲区溢出攻击的编译数据空间对策

分析了传统的编译数据空间组织结构,说明它是缓冲区溢出威胁软件运行时安全的先天成因.在此基础上对传统的编译数据空间提出了改进方案;描叙了方案的设计与实现,并评价了其安全性与运行性能.

基于元数据和指令流的64位Windows堆栈取证

为解决64位Windows环境中,现有工具针对含有恶意进程的转储文件中没有堆栈帧指针和调试符号时,构建的堆栈取证会产生漏报问题和没有元数据时构建的堆栈取证会产生错报问题,提出了从内存转储构建堆栈跟踪方法。从内存转储中检索目标进程的用户上下文,确定堆栈跟踪的起始点,然后基于异常处理的元数据展开。如果元数据不可用,使用基于指令流的验证方法生成等效数据。基于框架Volatility实现了相应插件,实验表明,方法不依赖堆栈帧指针和调试符号,利用元数据可获取更加完整的堆栈跟踪;没有元数据时,基于指令流的验证可以极大地提高取证的精确性。

后备栈:一种高效的返回地址栈修复机制

当前,大多数高性能微处理器都使用返回地址栈为返回指令提供预测目标地址。而要想获得高的返回地址预测精度,在发生分支误预测后对返回地址栈进行修复是必不可少的。本文首先分析了三种常见的返回地址栈修复机制,提出了一种新的返回地址栈修复机制——后备栈,并详细描述了后备栈机制的逻辑实现和工作原理。最后,本文把后备栈机制和其他三种常见的修复机制进行了比较。在不发生返回地址栈溢出时,使用后备栈机制能够获得100%的返回地址预测精度。

移动IPv6模型安全问题及解决方案研究

通过对移动IPv6移动原理和路由优化等过程的分析和研究,证明了移动IPv6基本模型存在着严重的安全漏洞。针对路由优化绑定更新过程的脆弱性,分析了由于移动IPv6基本模型漏洞而可能带来的两种后果严重的安全攻击模式,对绑定更新过程进行了改进性设计。该设计不依赖于任何新的安全框架,简单易行,能有效遏制互联网上针对移动通信的攻击行为,对下一代互联网的安全稳定性起着积极作用。

基于返回地址保护的防止缓冲区溢出方法

缓冲区溢出是一种使用广泛、威胁大的攻击。现在提出一种对于函数返回地址进行混合保护的方法,防止攻击者通过改变函数返回地址来执行注入的代码。这种方法包括一个简单的编译器补丁,增强编译器的安全功能,建立一个安全区域保存所有的函数返回地址的拷贝,而且该拷贝通过动态的编码,让攻击者难以进行猜测和攻击。使用这种方法,不需要改变用户程序的原代码,也不会改变用户程序的二进制堆栈结构,所以可以很好的和原有的操作系统、函数库结合。现在对这种方法的性能进行测试,详细描述测试结果,并认为对性能的影响在可以接受的范围,因此这种方法是一种有效的抵御缓冲区攻击的方法。

商务环境中对移动IPv6的几点改进

随着Internet的迅猛发展和移动设备的广泛应用,越来越多的商务活动开始往移动IP领域发展。本文针对商务应用的特点,讨论了移动IPv6的三个主要改进:安全改进、配置管理改进和路由改进。并分别提出了一些修改意见,包括路由返回过程的简化,无状态地址自动配置过程的加快和路由优化的限制条件。这些修改增强了移动IPv6对商务环境的支持,提高了移动传输的效率。

俄汉称呼方式的社会演变

称呼语作为一种广泛使用的语言形式,鲜明地反映着一个社会的主流文化、价值取向和民族习俗。从称呼语的角度审视中俄社会文化,从两种语言动态变化的过程中揭示两种文化的发展方向,可以认识中俄两国传统文化的演变和发展,通过对俄汉正式与非正式场合称呼语、职衔称呼语、亲属称呼语等方面的对比,可以清楚地看到两种语言文化的国际化、去政治化和回归传统的趋势。

FPW对缓冲区溢出的实时检测

缓冲区溢出类的安全漏洞是最为常见的一种攻击形式 .本文介绍了缓冲区溢出的机理和作者所设计的 FPW(Frame Pointer Watcher) .FPW通过监视前帧指针来实时检测对函数返回地址的溢出攻击 .和同类工具相比 。

基于备份控制流信息的缓冲区溢出监测技术

C/C++在提供灵活的使用方式和高效目标码的同时,由于缺少边界检查机制,缓冲区溢出成为C/C++程序面临的一种严重的攻击威胁。给出了一种缓冲区溢出攻击的动态防护方法。使用在库中声明的数组来备份函数的控制流信息,包括返回地址和栈帧指针,来动态监测非法的篡改行为。该方法可以对缓冲区溢出攻击中的直接攻击和间接攻击均有效防护。通过RIPE基准平台和两道实际应用的测试以及理论比较表明该方法的有效性。

基于两层隐马尔可夫模型的入侵检测方法

在基于系统调用的入侵检测研究中,如何提取系统调用序列模式是一个重要问题。提出一种利用进程堆栈中的函数返回地址链信息来提取不定长模式的方法。同王福宏的不定长模式提取方法相比,该方法可以取得更完备的模式集。在此基础上,基于系统调用序列及其对应的不定长模式序列构建了一个两层隐马尔可夫模型来检测异常行为,与仅利用系统调用序列信息的经典隐马尔可夫方法相比,该方法可以取得更低的误报率和漏报率。

基于返回地址签名的控制流攻击检测方法

攻击者利用软件漏洞劫持程序的执行流向,将其导向恶意代码shellcode或组成恶意代码指令处并执行,最终达到控制整个系统行为的目的,这种恶意攻击方式称为控制流攻击。通过对控制流攻击原理的研究,提出了基于返回地址签名的控制流攻击检测方法。该方法首先在处理器执行程序调用指令call时,触发伪随机数发生器生成密钥K与压栈返回地址进行异或操作,利用MD5算法为异或后的压栈返回地址生成压栈签名值;然后在执行程序返回指令ret及返回地址弹出堆栈时,使用密钥K与出栈返回地址进行异或操作,异或后的出栈返回地址作为MD5算法的输入,生成出栈签名值;最后根据压栈签名值与出栈签名值是否匹配检测控制流攻击。实验结果显示:返回地址签名值具有良好的随机性且攻击者可用的控制流指令平均减少率达到81.27%,可以有效地检测因返回地址被恶意篡改而引起的控制流攻击。

基于系统调用与进程堆栈信息的入侵检测方法

提出一种利用动态提取进程堆栈中的信息来寻找不定长模式的方法。该方法以进程中产生系统调用的函数返回地址链作为提取不定长模式的依据,根据函数的结构关系对模式集进行精简,得到一组不定长模式集。在此基础上,以不定长模式作为基本单位构建了一个马尔可夫链模型来检测异常行为。实验结果表明,该方法的检测性能要优于传统的不定长模式方法和一阶马尔可夫链模型方法,能够获得更高的检测率和更低的误报率。

基于堆栈的缓冲区溢出攻击原理

缓冲区溢出攻击是目前最有效的系统攻击手段,它大体上可以分为两种类型,一种是基于堆栈的,一种是基于堆和BSS的.分析了前一种攻击的工作原理,在此基础上,提出了相应的防范措施,如采用安全函数,加入校验代码等.

基于代码插装的缓冲区溢出漏洞定位技术

为准确快速地找到缓冲区溢出漏洞点,提出一种通过代码插装对二进制文件中的缓冲区溢出漏洞自动定位的方法。使用PIN提供的函数编写程序分析工具,在程序执行过程中记录所需的信息。当检测到内存访问错误异常时,判别破坏内存的情况,获取内存破坏点,查找到非法写内存的指令定位漏洞。实例分析表明,该方法不需要源程序且效率较高,能成功地定位常见的缓冲区溢出漏洞。

一种软硬件结合的防缓冲区溢出攻击技术

针对缓冲区溢出攻击,提出一种软硬件相结合的预防技术。介绍缓冲区溢出攻击,在高速缓存和主内存之间增加基于FPGA的硬件模块,该模块通过保护函数返回的地址来防范缓冲区溢出的攻击,引入硬件模块。实验结果表明,该技术在对系统性能影响较小的前提下,能抵抗缓冲区溢出攻击。

基于CGA技术的移动IPv6绑定更新安全机制

为解决移动IPv6路由优化过程当中绑定更新消息的安全问题,结合返回路径可达协议和CAM协议的优点,提出一种基于加密生成地址(CGA)技术的绑定更新安全机制。该机制在没有部署PKI的环境下,利用CGA技术实现了跨信任域的2个节点基于地址的身份认证,可有效防止攻击者伪造、篡改绑定更新消息,解决路由优化过程中存在的反射式攻击问题。