[發明專利]一種基于Pin工具的ROP及其變種攻擊的動態檢測方法有效
| 申請號: | 201710556572.1 | 申請日: | 2017-07-10 |
| 公開(公告)號: | CN107330323B | 公開(公告)日: | 2020-05-19 |
| 發明(設計)人: | 張小松;牛偉納;曹思宇 | 申請(專利權)人: | 電子科技大學 |
| 主分類號: | G06F21/52 | 分類號: | G06F21/52;G06F21/56 |
| 代理公司: | 成都弘毅天承知識產權代理有限公司 51230 | 代理人: | 徐金瓊;劉東 |
| 地址: | 611731 四川省成*** | 國省代碼: | 四川;51 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 一種 基于 pin 工具 rop 及其 變種 攻擊 動態 檢測 方法 | ||
1.一種基于Pin工具的ROP及其變種攻擊的動態檢測方法,其特征在于:包括以下步驟:
步驟1:利用二進制Pin插樁工具啟用目標程序;
步驟2:跟蹤所述目標程序,匹配ret指令、call指令與jmp指令;
步驟3:若為ret指令,則利用基于ret指令的檢測模塊進行檢測;若為call指令,則利用基于call指令的檢測模塊進行檢測;若為jmp指令,則利用基于jmp指令的檢測模塊進行檢測;
所述基于ret指令的檢測模塊的檢測算法為:
S201:監控寄存器,提取ret指令跳轉的目的地址;
S202:檢測所述目的地址的前一指令是否為call指令,若為call指令跳轉到S203執行,否則發出攻擊警報;
S203:檢測所述目的地址是否在函數體內并且所述函數第一次被調用,若是則發出攻擊警報,否則跳轉到S204執行;
S204:設定檢測指令的條數閾值和頻數閾值,檢測所述目的地址后條數閾值范圍內的指令中jmp指令、call指令和ret指令是否連續出現,若連續出現的頻數大于所述頻數閾值則認為受到攻擊并發出攻擊警報,否則執行步驟2;
步驟4:若檢測模塊檢測出所述目標程序的異常,則發出攻擊警報;否則跳轉至步驟2。
2.根據權利要求1所述的一種基于Pin工具的ROP及其變種攻擊的動態檢測方法,其特征在于:所述基于call指令的檢測模塊的檢測算法為:
檢測call指令跳轉的目的地址是否為函數的入口地址,若不是則發出攻擊警報,否則執行步驟2。
3.根據權利要求1所述的一種基于Pin工具的ROP及其變種攻擊的動態檢測方法,其特征在于:所述基于jmp指令的檢測模塊的檢測算法為:
S401:檢測jmp指令是否跨函數跳轉,若是則跳轉S402執行,否則執行步驟2;
S402:檢測jmp指令跳轉的位置是否在函數體的內部,若是則發出攻擊警報,否則執行步驟2。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于電子科技大學,未經電子科技大學許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201710556572.1/1.html,轉載請聲明來源鉆瓜專利網。
