基于可执行代码的缓冲区溢出检测

摘要

随着计算机的普及和Internet应用的广泛深入，信息安全问题日益引起人们的重视，其中，缓冲区溢出漏洞攻击的数量逐年上涨。 本文介绍了缓冲区溢出的原理和主要的缓冲区溢出攻击技术。总结了现有针对缓冲区溢出攻击的防御技术（特别是缓冲区溢出检测技术）的发展状况，分析其优点和局限性。 现有缓冲区溢出检测技术中静态分析技术大都依赖于源代码，而动态分析技术又大都是在遭受攻击后采取措施，损失可能已经造成。并且，现有的静态检测技术大都没有关心程序的流程，存在较高的误报率。鉴于此，本文提出了改进的基于可执行代码的缓冲区溢出检测模型。该模型根据程序在进行缓冲区操作之前是否进行了严格的边界检查来判断缓冲区溢出漏洞的存在与否，提出了除采用现有的缓冲区操作识别方法外，根据汇编语言字符串操作指令和循环拷贝来识别缓冲区操作的方法。模型首先将可执行代码反汇编为汇编代码；然后通过解析汇编代码，分析其函数调用关系和控制流，查找缓冲区变量并确定其始末地址；最后从缓冲区引用实例处逆向归结路径上的约束条件，利用约束求解技术判定缓冲区溢出可能与否。 根据本模型实现了系统原型,并通过实验验证了该模型的有效性。