ROP

摘要： 在现代计算机系统漏洞缓解机制的作用下,传统注入攻击方法无法实现攻击,面向返回编程(Return-Oriented Programming,ROP)技术成为漏洞攻击的关键,其利用多个代码片段(gadget)组成ROP链,从而实现任意操作执行。因此,网络流量中的ROP链检测对防御漏洞攻击具有重要作用。文章提出一种ROP流量静态检测方法,该方法结合信息熵和方差通过序列抽取方式完成对ROP链中字节波动特征的差异量化,并利用卷积神经网络(Convolutional Neural Network,CNN)捕捉特征,从而实现对网络流量中ROP链的静态检测。文章将真实ROP代码与正常流量进行随机混合,从而形成训练数据集,利用此数据集进行分类训练,模型的最高准确率可达99.6%,漏报率可控制在2%以下,误报率可控制在1%以下。实验结果表明,文章提出的方法实现了纯静态ROP流量检测,系统开销低,并且不依赖内存地址信息。

摘要： 漏洞利用脚本在安全研究中有着极为重要的作用,安全研究人员需要研究漏洞利用脚本触发以及利用漏洞的方式,来对漏洞程序进行有效的防护。然而,从网络中获取的大量漏洞利用脚本的通用性和适配性都很差,局限于特定的操作系统及环境,会因运行环境的改变而失效。这个问题在基于ROP的漏洞利用脚本中尤为普遍,使得ROP漏洞利用脚本的移植利用分析变得非常困难,需要依赖于大量的人工辅助与专家经验。针对ROP漏洞利用脚本的移植利用难题,提出了ROPTrans系统,通过ROP漏洞利用脚本的语义识别,定位与运行环境相关的关键语义及其变量,随后自动化适配环境,生成目标环境下的ROP漏洞利用脚本,以实现ROP脚本的自动化移植。实验结果表明,ROPTrans的成功率可以到达80%,验证了该方法的有效性。

摘要： 早产儿视网膜病变(retinopathy of prematurity,ROP)是一种可致盲的眼病,表现为早产儿或出生时低体重婴儿的新生血管增殖并纤维化改变。早产儿出生时胎龄越小、体重越轻,ROP的发生率越高。ROP需引起社会的广泛关注。

摘要： 本文采用某维修企业（MRO）信息系统 SAP 升级后，如何做好消耗件需求预测以确定物料需求计划（MRP）中核心的再订货点（ROP）的计算方法在实际系统中如何应用的方法。其过程创新引入动态计算的智能化航材分类数据并自动建立需求预测模式的对应算法，填补了系统应用空白。

摘要： ROP is a popular attacking technology used to exploit software vulnerability,and it is always updating to against the technology of defensing ROP.Both kBouncer and ROPecker are the state-of-the-art ROP defense tools,and they are effective in detecting traditional ROP and JOP,and they can trace the process of indirect jump instructions by detecting ROP characters and using LBR register.The bypassing method proposed by Nicholas has the disadvantage that it is hard to find available ROP gadgets.This paper proposed a novel method to organize ROP gadgets.The ROP frame was constructed to execute traditional gadgets in loops by multipath dispatcher.Using this ROP frame,attackers can use plenty of traditional gadgets to execute a complete and efficient ROP chain.The test results show that this method is easy to implement,and it is able to perform complex functions.More importantly,the proposed ROP frame can bypass ROPecker and kBouncer because it has small enough characters.%ROP是一种流行的软件漏洞利用技术,它与ROP检测技术的对抗正在不断升级.主流的ROP检测工具kBouncer和ROPecker通过LBR寄存器追踪间接跳转指令的执行过程,结合ROP特征检测,对传统的ROP以及改进的JOP等攻击行为都有很好的检测效果.Nicholas提出了绕防方法,但它存在可用gadget数量少、实现难度大等问题.提出了一种基于多路径分发的ROP框架构造方法,基于3种类型的gadget模块构造了一个gadget循环执行的框架,在该框架内可以使用丰富的常规gadget,从而形成一条完整、高效的ROP攻击链.实验表明该方法的实现难度低,不仅能够完成复杂的ROP功能,而且特征足够小,能够绕过主流ROP检测工具的检测.

摘要： Return-Oriented programming (ROP),in which attackers corrupt program stack in order to hijack the control flow of the program,is a popular way to attack memory corruption bugs.Control flow integrity (CFI) is a popular approach which thwarts attackers tampering with execution flow,in a way that enforces the legal targets of each indirect branches.While published CFI approaches mainly focus on protecting user programs,the OS kernel is still vulnerable to various attacks such as return-oriented rootkits (ROR),which can launch ROP attacks in vulnerable kernel modules,is able to execute arbitrary code in kernel.Compared with traditional user-level ROP,ROR is more dangerous because it happens in kernel space.According to Linux CVE from 2014 to 2016,76％ of kernel bugs appear in kernel module and almost all of the published attacks happen in kernel modules,which infers that kernel modules happen to be the most dangerous area in the kernel space.However currently there are still very few number of kernel-level CFI protection mechanisms,and all of the existing ones require source-code level modification and kernel recompilation,which restricts the usage scenarios of the commodity systems.Facing off these problems,this paper proposes to leverage Intel processor trace (IPT),and presents the first system which can prevent against ROP attacks in kernel modules base on virtualization without relying on the source code of kernel and kernel modules.The evaluation proves the precision,transparency and efficiency of the new system.%Return-Oriented Programming(ROP)是一种流行的利用缓冲区溢出漏洞进行软件攻击的方法.它通过覆写程序栈上的返回地址,使程序在之后执行返回指令时跳转到攻击者指定位置的代码,因而违反了程序原本期望的控制流.控制流完整性(control-flow integrity,简称CFI)检查是目前最流行的ROP防御机制,它将每条控制流跳转指令的合法目标限制在一个合法目标地址集合内,从而阻止攻击者恶意改变程序的控制流.现有的CFI机制大多用于保护用户态程序,而当前已有诸多针对内核态的攻击被曝出,其中,Return-Oriented rootkits(ROR)[1]就是在有漏洞的内核模块中进行ROP攻击,达到执行内核任意代码的目的.相对于传统的基于用户空间的ROP攻击,ROR攻击更加危险.根据Linux CVE的数据统计,在2014年～2016年间,操作系统内核内部的漏洞有76％出现在内核模块中,其中,基本上所有被公布出来的攻击都发生在内核模块.由此可见,内核模块作为针对内核攻击的高发区,非常危险.另一方面,当前鲜有针对操作系统内核的CFI保护方案,而已有的相关系统都依赖于对内核的重新编译,这在很大程度上影响了它们的应用场景.针对这些问题,首次提出利用Intel Processor Trace(IPT)硬件机制并结合虚拟化技术,对内核模块进行透明且有效的保护,从而防御针对它的ROP攻击.实验结果表明,该系统具有极强的保护精确性、兼容性和高效性.

摘要： 尽管有许多防御和保护机制已经被引入到现代操作系统中,但内存泄漏漏洞仍然对软件系统和网络安全造成巨大威胁.对于返回导向式编程ROP攻击(Return Oriented Programming)通常利用缓冲区溢出漏洞改写函数的返回地址,而函数指针在c/c+ +中普遍存在,比如struct结构体和虚函数中都含有大量的函数指针.本文通过实验表明了覆盖函数指针发起的ROP攻击是存在的并且提出fpDetect检测方法用来检测这种攻击.采取二进制代码插桩技术与动态检测相结合,大大提高了检测的准确性.通过实验证明了fpDetect检测方法可以应用在Linux和windows操作系统中.

摘要： 本文阐述了文件格式渗透攻击的原理及特点,基于微软针对缓冲区溢出攻击推出的DEP数据执行保护机制,提出利用ROP技术绕过DEP机制,在Metasploit平台下实现对PDF文件格式的渗透测试,最后通过实验成功进行了验证.

摘要： 本发明公开了一种多个ROP的并行调度以及ROP的流水设计。ROP包括命令解析、缓冲区清除、片段测试、混合、逻辑操作、屏蔽缓冲区等操作。经ROP处理后的像素、深度、模板等数据写入到指定的帧缓存中，由于需要频繁操作帧缓冲区中的数据，ROP与帧缓冲区之间有对应的Cache；在该设计中采用统一染色器，染色后的顶点数据与像素数据送给ROP，ROP内部进行仲裁，将顶点数据Bypass传给顶点Cache，像素数据送给ROP进行处理。而需要执行的OpenGL命令是由前端命令处理单元FEP下发，GPU图形图像管线中各个模块状态信息也是由FEP统一管理。FEP通过查询状态信息来决定是否给相应的模块下发命令。本发明结构简单，模块划分明确，处理速度快，根据设计要求支持任意多个ROP单元的扩展。

摘要： 本发明公开了一种针对弓形虫毒力因子ROP18的纳米抗体及其编码序列与应用，纳米抗体的VHH链氨基酸序列如SEQ ID No.18所示。所述纳米抗体包括两条VHH链。本发明针对弓形虫毒力因子ROP18的纳米抗体由弓形虫毒力因子ROP18抗原免疫骆驼后制备毒力因子ROP18特异的纳米抗体库，利用噬菌体展示技术筛选亲和力高的毒力因子ROP18特异的纳米抗体，具有高度水溶性和构象稳定性，且弓形虫毒力因子ROP18纳米抗体能与弓形虫抗原特异性结合，可用于制备弓形虫检测试剂盒。

摘要： 本发明属于矿山运输装备安全检测技术领域，具体涉及一种煤矿井下车辆ROPS驾驶室检测的测试方法。本发明的步骤如下：步骤1：将被测驾驶室固定在测试台架体内；步骤2：确定被测驾驶室侧向、垂向、纵向、左侧角和右侧角的加载位置；步骤3：驱动垂直加载装置、侧向加载装置、纵向加载装置、左侧角加载装置以及右侧角加载装置进行移动；步骤4：依次对被测驾驶室的侧向、垂向、纵向、左侧角和右侧角进行测试；步骤5：加载测试中变形的被测驾驶室不得侵入并触发驾驶室变形测量装置，否则判定不合格并立即停止测试；步骤6：数据采集。本发明高效精准的对多型号煤矿井下车辆驾驶室结构的侧向、垂向、纵向、左侧角和右侧角方向进行强度加载测试。

摘要： 本发明属于矿山运输装备安全检测技术领域，具体涉及一种煤矿井下车辆ROPS驾驶室检测试验台。本发明包括主体框架、T型槽平台、多向加载装置、ROPS变形量测试装置和控制系统；主体框架的上侧、前侧以及后侧的中央均连接有能够横向和竖向移动的移动装置Ⅰ，主体框架左侧角和右侧角均连接有能够竖向移动的移动装置Ⅱ，移动装置Ⅰ和移动装置Ⅱ上的加载装置能够±20°俯仰与摆动位姿角度调节；ROPS变形量测试装置固定在驾驶室座椅安装处，ROPS变形量测试装置的挠曲极限量DLV模型的顶部以及前后左右均安装有感知部件，实现对驾驶室结构侵入DLV空间的自动感知。本发明满足目前多种型号煤矿井下车辆驾驶室结构的全方位的强度检测要求，测试准确性高、效率高。

摘要： 本发明属于基因工程技术领域，具体涉及一种弓形虫ROP17重组蛋白及其制备方法与应用，本发明首先对弓形虫ROP17基因进行特异性引物设计，然后以弓形虫DNA为模板扩增ROP17片段，经双酶切后连接到pET‑28a(+)表达载体中，并转化至克隆感受态细胞，提取质粒后再转化原核表达感受态细胞构建得到原核表达载体，对构建的原核表达载体诱导，纯化后制备得到弓形虫ROP17重组蛋白。本发明的融合蛋白ROP17具有较好的抗原性，可高效、高密度的捕获目标分子，达到快速、高灵敏检测弓形虫血清的目的，可适用于间接ELISA、夹心ELISA等检测方法，可准确快速地检测到弓形虫的感染，敏感性高、特异性强。

摘要： 本发明提供的一种ROP链的检测方法、装置及介质，适用于流量检测领域。基于ROP链的组成规则，优化现有研究中需要对数据包待测流量数据的多次检测判定的问题，仅需要根据具体操作系统位数设定检测判定的次数，将待测流量数据简化得到第一生成数据，从而根据字节地址划分原则和Gadget地址空间将多个第一生成数据对应划分为多个第二生成数据；根据滑动窗口将多个第二生成数据判定得到对应的滑动数据。当滑动数据满足预设条件时输出目标序列首次出现的位置对应第一生成数据的位置以实现定位ROP链位置，进一步节省时间成本，简化检测过程，可根据所定位的ROP链位置为后续流量分析工作提供便利。

摘要： 本发明涉及木马检测的技术领域，揭露了一种基于大规模图分析的快速安卓ROP木马检测方法，包括：将待运行APP转化为包含APP字节数的方阵，利用卷积操作将方阵压缩到规定维度，构建APP压缩网络；基于优化后的APP压缩网络计算得到方阵的APP哈希值，并将该哈希值上传至云端，云端判断哈希值是否存在，若存在则直接将该哈希值对应的检测结果回传给安卓用户；云端在沙箱中运行APP并记录APP执行的系统调用序列；构建ROP木马检测图模型：将待运行APP执行的系统调用序列与ROP木马检测图模型进行路径匹配，若路径相似度大于指定阈值则说明待运行APP为ROP木马。本发明所述方法实现基于历史哈希值的ROP木马快速检测，以及基于图模型相似度的ROP木马快速检测。

摘要： 本发明公开了一种ROPS骨架设计方法及工程机械驾驶室，ROPS骨架设计方法包括：依据土方机械标准计算得到ROPS骨架的侧向加载力Fmax及侧向载荷能量Umax目标值；从简支梁结构力学模型中选择合适的驾驶室骨架结构类型；根据创建的最大侧向加载力Fmax速算公式、最大载荷能量Umax速算公式，计算得到所有立柱和顶横梁的型材截面模数之和，据此选择合适的型材，采用选择的驾驶室骨架结构类型搭建封闭空间框架结构。

摘要： 本发明公开了一种基于深度学习的ROP图像分类系统及方法，包括：收集新生儿的眼底彩照和临床变量文本数据，并对眼底彩照进行预处理；通过特征提取模型对预处理后的眼底彩照进行图像特征提取；将特征提取后的眼底彩照的图像特征与临床变量文本数据进行串联融合，获得眼底彩照的融合特征；基于深度神经网络对融合特征进行处理，获得眼底彩照的平均模型函数值；根据平均模型函数值，获得ROP的二进制分类函数值；基于二进制分类函数值以及预设阈值的大小关系，对眼底彩照进行分类，获得分类结果。本发明能有效减少低危新生儿接受不必要筛查的次数、辅助医生提高对于ROP筛查与分析的效率，同时减轻眼科医生的工作负担。

摘要： 本实用新型涉及工程机械技术领域，具体涉及一种挖掘机用ROPS驾驶室。所述挖掘机用ROPS驾驶室包括：ROPS驾驶室本体，构造为框架结构，并适于与设置于其底部的车架固定连接；加固纵梁，由位于ROPS驾驶室本体底部的纵梁构成，并设置于ROPS驾驶室的倾倒受力侧；第一紧固件、第二紧固件、第三紧固件，沿加固纵梁的长度方向依序设置，该三个紧固件适于将ROPS驾驶室本体与所述车架紧固连接。通过第一紧固件、第二紧固件、第三紧固件沿驾驶室侧翻时最先受力侧的加固纵梁的长度方向依序设置，实现在驾驶室发生侧翻时，紧固件可以最先承受相应侧翻力，更可靠的防止ROPS驾驶室与车架分离，从而提供了一种结构简单且安全性高的挖掘机用ROPS驾驶室。