二進(jìn)制環(huán)境下的緩沖區(qū)溢出漏洞動(dòng)態(tài)檢測(cè).pdf

1、緩沖區(qū)溢出漏洞是一個(gè)在各種類(lèi)型操作系統(tǒng)和程序都廣泛存在的一個(gè)安全漏洞，也是被黑客最多使用的攻擊漏洞。目前大多數(shù)緩沖區(qū)溢出檢測(cè)工具是基于源代碼的，極大限制了工具的使用范圍。傳統(tǒng)二進(jìn)制環(huán)境靜態(tài)識(shí)別模型存在一些固有缺陷，主要集中在指針別名以及變量類(lèi)型識(shí)別。本文提出了一種動(dòng)態(tài)與靜態(tài)技術(shù)相結(jié)合的二進(jìn)制漏洞挖掘方法彌補(bǔ)了大部分缺陷。 本文從分析x86 CPU架構(gòu)和指令開(kāi)始，詳細(xì)介紹了二進(jìn)制文件的反編譯，虛擬執(zhí)行環(huán)境VM的設(shè)計(jì)。在VM的設(shè)計(jì)里

2、，設(shè)計(jì)了和真實(shí)CPU一樣的IA-32基本執(zhí)行環(huán)境，可以執(zhí)行原生x86指令。通過(guò)VM，考察指令執(zhí)行狀態(tài)，跟蹤寄存器的變化，解決了指針別名的問(wèn)題。通過(guò)記錄VM中虛擬內(nèi)存每條指令訪存地址，最后統(tǒng)計(jì)計(jì)算出每條訪存指令實(shí)際訪問(wèn)的變量地址，解決了變量精確識(shí)別的問(wèn)題。 在現(xiàn)代的程序中，包含了大量的庫(kù)函數(shù)。為了盡可能的避開(kāi)這些庫(kù)函數(shù)，本文提出了新的快速庫(kù)函數(shù)識(shí)別技術(shù)。新的快速庫(kù)函數(shù)識(shí)別技術(shù)相對(duì)于現(xiàn)有的技術(shù)，提高了識(shí)別準(zhǔn)確度，但是識(shí)別庫(kù)的存儲(chǔ)和重

3、建復(fù)雜。 在控制流分析中，引用了圖論里的區(qū)間圖理論，將程序流圖劃分為不相交的區(qū)間子圖。通過(guò)區(qū)間圖的簡(jiǎn)約，逐步識(shí)別出程序流圖的嵌套控制結(jié)構(gòu)。在數(shù)據(jù)流分析中，計(jì)算了傳統(tǒng)的數(shù)據(jù)流方程，針對(duì)二進(jìn)制環(huán)境的特點(diǎn)，提出了一個(gè)簡(jiǎn)易有效的類(lèi)型識(shí)別算法。針對(duì)不安全函數(shù)調(diào)用和寫(xiě)內(nèi)存循環(huán)2種字符串拷貝操作，研究寫(xiě)內(nèi)存循環(huán)導(dǎo)致的溢出問(wèn)題，提出一種流相關(guān)、上下文無(wú)關(guān)的檢測(cè)算法。在循環(huán)關(guān)鍵屬性識(shí)別里，再一次結(jié)合VM，計(jì)算循環(huán)狀態(tài)差值，從中發(fā)現(xiàn)變化量，由此解決