超级会员免费看
函数指针编码与内存布局检查及IP溯源方法评估
函数指针编码与内存布局检查
在计算机系统中,缓冲区溢出攻击是一个严重的安全威胁。为了应对这一问题,我们提出了函数指针编码和内存布局检查的方法。
内存布局检查
内存布局检查无需额外的安全传感器内存空间,它通过检查堆栈指针、帧指针、段边界和指令对齐来保障系统安全。由于保留了原始的内存布局,不存在兼容性问题,并且可以与其他解决方案(如PC编码)结合使用,增强程序的自我保护能力。以下是三种内存布局检查方法:
- 帧反转(Frame Inversion) :在x86处理器中,堆栈从高地址向低地址增长,因此堆栈指针寄存器 %esp 的值应始终小于帧指针寄存器 %ebp 的值。如果 %ebp - %esp < 0 ,则表示堆栈帧反转,这可以有效检测线性堆栈溢出攻击。当返回地址指针从下方被破坏时,调用者的堆栈帧会被反转。因为攻击代码通常注入到被调用函数的堆栈帧缓冲区中,其地址低于帧指针的值。如果返回地址指针被破坏,位于其上方的调用者帧指针槽也会受到影响。
- 目标段检查(Destination Segment) :x86的32位虚拟地址空间被划分为5个不重叠的段,从高地址开始依次为保留段、动态段、数据段、文本段和堆栈段。任何调用或返回至非文本段的操作都可能被视为入侵。如果将段检查与PC编码结合使用,我们只对低阶位进行编码和解码,文本段的大小决定了需要编码的低阶位数量,而用于区分段的高阶位保持不变。例如,在x86中,如果地址的高阶20位小于 0x
订阅专栏 解锁全文
扫一扫
411
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
