检索规则说明:AND代表“并且”;OR代表“或者”;NOT代表“不包含”;(注意必须大写,运算符两边需空一格)
检 索 范 例 :范例一: (K=图书馆学 OR K=情报学) AND A=范并思 范例二:J=计算机应用与软件 AND (U=C++ OR U=Basic) NOT M=Visual
名 称:
注 释:
机构地区:[1]南京大学计算机软件新技术国家重点实验室,南京210093 [2]南京大学计算机科学与技术系,南京210093
出 处:《计算机工程》2012年第4期122-125,共4页Computer Engineering
基 金:国家自然科学基金资助项目(61073027;90818022;60721002);国家"973"计划基金资助项目(2009CB320705)
摘 要:根据面向返回的编程(ROP)攻击及其变种的攻击原理,设计一个针对ROP攻击的动态运行时检测系统。该系统包括静态插桩和动态运行监控2个阶段。静态插桩为待检测程序装配分析代码,动态运行利用ret完整性检测、call完整性检测和jmp完整性检测方法分析程序的控制流和数据流,判断是否为ROP攻击。实验结果表明,该方法能完全检测出ROP恶意代码。Return-oriented Programming(ROP) is a new attack based on code-reuse technique. This paper proposes a dynamic runtime detection system for return-oriented programming attack, studies the intrinsic nature of ROP and its variant. According to these nature, it designs ret integrity checking, call integrity checking and jmp integrity checking. The detecting system is implemented to static instrument and dynamic run-time checking. Static instrumentassemble the analysis code into the program to be detected and dynamic run-time checking do the real detection with the three integrity checking. Preliminary experimental results show that the method can efficiently detect ROP malicious code and have no false positives and negatives.
关 键 词:面向返回的编程 恶意代码 ROP检测 JOP检测
分 类 号:TP309[自动化与计算机技术—计算机系统结构]
正在载入数据...
正在载入数据...
正在载入数据...
正在载入数据...
正在载入数据...
正在载入数据...
正在载入数据...
正在链接到云南高校图书馆文献保障联盟下载...
云南高校图书馆联盟文献共享服务平台 版权所有©
您的IP:216.73.216.4