Windows缓冲区溢出Exploit代码分析研究

该文首先讨论了缓冲区漏洞的产生原理和一般攻击手段,然后分析总结Windows缓冲区溢出漏洞利用的攻击Exploit代码结构和特征,最后讨论了这些特征在入侵检测领域中的应用以及基于系统调用特征的入侵检测这一最新发展方向。

缓冲区溢出攻击代码的分析研究

缓冲区溢出漏洞是当前互联网中存在的最主要的威胁之一。该文先讨论了缓冲区溢出漏洞的产生原理和一般的攻击手段,然后分析了利用缓冲区溢出漏洞的攻击代码,给出了攻击代码的主要特征。最后,讨论了如何利用这些特征,来防范缓冲区溢出攻击的发生。

单字节栈溢出的分析

针对单字节栈溢的分析效率低下且经验难以复用的情况,提出一种黑盒分析方法。根据畸形EBP特征,确定异常由单字节栈溢出导致;不断对异常样本进行变异并收集运行信息,直至获得更利于异常分析与漏洞利用的样本;对该样本简单修改,可实现软件漏洞的利用。该方法具有易实施、无需深入分析程序内部逻辑、自动化程度高的特点,能有效提高异常分析的效率,在程序及真实漏洞案例上的实验验证了该方法的有效性。

缓冲区溢出漏洞利用研究

远程缓冲区溢出漏洞是网络安全领域最严重的安全漏洞。而远程过程调用广泛应用于分布式环境中,是发起远程缓冲区溢出攻击的常见手段。首先,阐述缓冲区溢出的基本原理,给出windows下利用远程过程调用发起远程缓冲区溢出攻击的一般方法和主要流程,通过一个缓冲区溢出漏洞利用的实例,说明攻击流程和分析方法的有效性,为如何在网络环境下有效防范缓冲区溢出漏洞利用提供指导。

基于MS Office漏洞利用技术的研究

伴随着微软Office系列文档在桌面系统的广泛应用,其相关应用软件的安全问题也引起了国内外安全界和攻击者的普遍关注,从最初的宏病毒到现在的针对文档格式解析的漏洞利用,各种攻击层出不穷。为此微软现在也加快了针对Office软件的安全公告和补丁程序的发布,以修补不断增加的漏洞。本文主要从缓冲区溢出原理、office文档格式分析并通过一个简单的word漏洞利用的实例阐述了基于Office的漏洞分析与利用技术。

二进制程序整型溢出漏洞的自动验证方法

整型溢出漏洞已成为威胁软件安全的第二大类漏洞,现有的整型溢出漏洞挖掘工具不支持自动验证漏洞,且现有的漏洞自动验证工具不支持整型溢出漏洞模式。因此,文章提出了一种二进制程序整型溢出漏洞的自动验证方法以填补这一空白。针对整型溢出漏洞中有价值的IO2BO漏洞,为避免程序在缓冲区溢出过程中发生Crash导致无法劫持控制流,通过污点分析建立可疑污点集合以缩小待分析污点范围,利用污点回溯技术追踪污点来源,通过符号执行收集内存读写操作的循环条件,控制循环次数以覆盖堆栈关键数据,最后通过约束求解生成新样本,将IO2BO漏洞的自动验证问题转化为传统缓冲区溢出漏洞的自动验证。实验证明该方法能够自动验证典型的IO2BO漏洞,生成能够劫持控制流并执行任意代码的新样本。

Windows环境下缓冲区溢出漏洞的利用

给出了缓冲区溢出的原理,分析了Windows平台下利用缓冲区溢出漏洞进行网络攻击的方法和特征,在此基础上提出了Windows平台下缓冲区溢出漏洞利用的开发流程。通过一个存在缓冲区溢出漏洞软件的利用实例验证了这个开发流程的有效性。

基于shellcode检测的缓冲区溢出攻击防御技术研究

缓冲区溢出攻击对计算机和网络安全构成极大威胁。从缓冲区溢出攻击原理和shellcode实现方式出发,提出针对shellcode的溢出攻击防御技术。描述shellcode获取控制权前后,从代码特点、跳转方式及shellcode恶意功能实现过程等方面入手,检测并阻止shellcode以对抗溢出攻击的几种技术。最后对这些技术的优缺点进行比较分析,指出其中较为优秀的方法,并就更全面提高系统安全性提出了一些建议。

Windows下缓冲区溢出漏洞的利用

给出了缓冲区溢出的原理,分析了Windows平台下利用缓冲区溢出漏洞进行网络攻击的方法和特征,在此基础上提出了Windows平台下缓冲区溢出漏洞利用的开发流程。通过一个存在缓冲区溢出漏洞的ftp软件的利用实例验证了这个开发流程的有效性。

Linux/UNIX下的不可执行目录

Linux/UNIX环境下,通过限制普通用户使用可写-可执行目录,可以防止攻击者利用这些用户的权限引入攻击程序,从而入侵系统;同时不妨碍普通用户正常地执行系统中已有的程序以完成其工作。就Linux/UNIX下的不可执行目录的设计与实现进行了探讨。

基于符号执行的缓冲区溢出漏洞自动化利用

软件规模与数量的快速增长给软件安全研究带来了严峻的挑战,以人工方式分析漏洞已难以完成漏洞危害性的评估。分析缓冲区溢出漏洞的形成原理,提出一种缓冲区溢出漏洞自动化利用方法。该方法采用符号执行检测漏洞,为缓解符号执行中状态爆炸问题,使用危险函数切片减少状态数量。对于检测到的漏洞,通过构建约束表达式和约束求解自动生成exploit。针对进程中不存在空间足够的可控内存块的情况,以shellcode分段存放的方式利用漏洞。实验结果表明,该方法可有效缓解符号执行路径爆炸问题,自动检测漏洞并生成适用性较好的exploit。

基于缓冲区溢出的蠕虫病毒的研究与实现

研究了基于缓冲区溢出技术的蠕虫病毒的原理和实现。蠕虫包括扫描、感染和传播模块,扫描模块通过全连接方式发现开放目的端口的主机地址,感染模块利用能够使缓冲区溢出的exploit,发送能够取得当前用户权限的shellcode,执行shellcode后,利用winsock API函数发送后续攻击命令,并且利用后门对被攻击主机系统进行操作,最后通过取得的权限执行传播模块,达到自动传播的目的。

Windows ROP自动生成技术的研究与应用

返回导向编程(ROP)技术可以有效绕过数据执行保护(DEP)机制,但人工分析可执行库中的二进制指令序列组合成ROP gadgets耗时而繁琐。为此,利用gadgets字典,设计并实现一种基于Windows平台的自动构建ROP Gadgets方法,允许ROP执行任意操作,并完成图灵完整性。Exploit开发人员利用自动生成的ROP gadgets,可加速绕过DEP机制的Exploit开发过程,缩短Exploit的开发时间。

缓冲区溢出利用与保护防御方法

缓冲区溢出攻击是目前出现频繁,危害极大的攻击手段。文章首先详细描述了缓冲区溢出的原理,对程序在系统中的内存空间、寄存器和函数调用返回过程进行剖析,然后介绍了缓冲区攻击利用的方式,分析了缓冲区溢出实例,最后对缓冲区溢出的保护以及防御方法进行了总结。

漏洞利用技术Heap Spray检测方法研究

堆喷射(Heap Spray)是近些年来非常流行的漏洞利用技术,最早被广泛利用在针对浏览器的攻击中。该技术很大程度上降低了漏洞溢出后地址跳转的难度,大大提高了缓冲区溢出攻击的成功率。通过分析和研究Heap Spray技术的原理,给出了一些技术细节,之后,对现有的一些检测方法进行分类研究,并分为3种类型:基于字符串的检测、基于内存保护的检测以及基于系统调用的检测,同时分别通过实例予以说明。