软件漏洞利用缓解及其对抗技术演化

摘要

漏洞利用及其缓解技术一直以来都是漏洞攻防研究的热点之一,主流操作系统及重要编译器均提供了对漏洞利用缓解技术的支持。该文总结了近十几年来,堆保护、地址随机化、沙箱保护等相关技术及研究的进展情况。重点探讨了栈保护技术攻防两端,针对GS、SafeSEH等前后历经的三轮对抗过程。围绕ROP、DeActive、Spray等3个方面的突破与反制,详细阐述数据执行保护技术的演化进程。从截断攻击向量的思路出发,从监测数据完整性、破坏可靠利用、防止控制流重定向、隔离故障隐患等角度出发,将目前的利用缓解技术归纳为:数据完整性检测保护、基于内存特征的保护、基于执行控制的保护和基于故障隔离保护等4个方面。由于存在旁路保护不足、综合防护能力较差等问题,现有的漏洞缓解技术在防护数据流劫持,抵御复合攻击向量方面的存在着不足。