缓冲区溢出漏洞发掘模型
作者:funnywei 日期:2003.12
 内容摘要
– 简介(Introduction) – 相关工作(Related Work) – 我们的模型(Our Model) – 总结(Conclusion)
Copyright funnywei 2003
 简介
– 研究的必要性 – C和C++语言仍然是开 发的主要工具 – 缓冲区溢出攻击已成为 主要攻击手段
Copyright funnywei 2003
 相关工作(Related Work)
– 静态检测(Static Detection) – 动态检测(Dynamic Detection) 主要分为动态和静态检测两种方法,其中静态检 测工具主要针对源码做相应检测,而动态检测工 具主要从对二进制程序运行时保护的角度出发.
Copyright funnywei 2003
 静态检测工具
– 第一代:lint – 第二代:Splint和LClint – 第三代:Flowfinder,RATS,ITS4
Copyright funnywei 2003
 动态检测工具
– FIST(Fault Injection Security Tool) – Libsafe和Libverify – Stack Shield
Copyright funnywei 2003
 我们的检测模型
– 静态分析 – 动态分析和测试
Copyright funnywei 2003
 静态分析
– 目的:得到子过程调用的关系图,以便后续的分析. 每一个子过程作为图中的一个节点,同时不安全的函 数也作为一个节点存在.
– 方法:
call和ret指令搜索 编译器优化和特征码匹配 缓冲区边界的定位 – 辅助:基于污点传播的双向数据流分析
Copyright funnywei 2003
有向图举例:
fun(char * arg) { char src[100] = {"This is a test"}; strcpy(arg, src); printf("%s \n", arg); } main() { char dest[100]; fun(dest); printf("%s\n", dest); }
Copyright funnywei 2003
 有向图节点记录
– 子函数的起始位置 – 函数所分配的堆栈大小 – 函数局部变量的使用情况 – 调用者传递给函数的参数 – 调用者调用本函数的地址(即函数调用的返回 地址)
Copyright funnywei 2003
 call和ret指令搜索
– 采用深度优先或者广度优先的搜索算法.
Copyright funnywei 2003
 编译器优化和特征码匹配
– 编译器对程序进行了优化以提高执行速度,有些函数(如 strcpy,strcat)被硬编码到程序中. – 如:strcpy() main() { char dest[100]; char src[100]; gets(src); strcpy(dest,src); return; }
Copyright funnywei 2003
 VC 6.0编译器
思想:只要在程序中以ECX为核心对指令进行匹配,同时 配合这三条字符串操作指令,就可以定位strcat和 strcpy.
repne scas byte ptr [edi] ;扫描源字符串,长度存放在ecx中 not ecx ..... mov EnX, ECX ..... shr ecx, 2 rep movs dword ptr [edi],dword ptr [esi] mov ecx, Enx and ecx, 3 ..... rep movs byte ptr [edi],byte ptr [esi]
Copyright funnywei 2003

下一页