要解决的问题:即使在动态链接器未提供任何函数来挂钩标准复制函数的调用的环境中,也要检测堆栈破坏攻击。
解决方案:获取要被攻击目标进程调用的复制函数的入口点,并复制当该入口点被重写为具有跳转到挂钩函数的指令时要覆盖的指令,以便当挂钩函数调用这些指令,可以生成执行这些指令的处理并将处理转移到复制功能的处理部分,然后用指令重写入口点以跳转到挂钩函数。然后,通过获取并比较当攻击目标处理根据钩子调用复制功能时要指定的复制起点和复制目的地处的缓冲区的大小,来判断是否将攻击数据写入复制起点缓冲区中。跳转指令调用的函数。
版权:(C)2005,JPO&NCIPI
公开/公告号JP2005234740A
专利类型
公开/公告日2005-09-02
原文格式PDF
申请/专利权人 NIPPON TELEGR & TELEPH CORP NTT;
申请/专利号JP20040040962
申请日2004-02-18
分类号G06F11/00;G06F9/42;
国家 JP
入库时间 2022-08-21 22:33:10