Shellcode 静态检测技术研究.pdfVIP

第２７卷第２期　　　 计算机应用与软件 Ｖｏｌ２７Ｎｏ．２ ２０１０年２月　　 ＣｏｍｐｕｔｅｒＡｐｐｌｉｃａｔｉｏｎｓａｎｄＳｏｆｔｗａｒｅ Ｆｅｂ．２０１０ Ｓｈｅｌｌｃｏｄｅ静态检测技术研究 戈　戟　史　洪　徐良华 （江南计算技术研究所　江苏无锡２１４０８３） 摘　要　　缓冲区溢出攻击是网络安全的重大威胁，事先检测是否存在Ｓｈｅｌｌｃｏｄｅ是对抗缓冲区溢出攻击的有效手段。从Ｓｈｅｌｌｃｏｄｅ 构成和特征出发，分类研究各种Ｓｈｅｌｌｃｏｄｅ静态检测技术，分析比较它们的优缺点，在此基础上提出了一种检测方案并实现了一个原 型系统。 关键词　　缓冲区溢出攻击　Ｓｈｅｌｌｃｏｄｅ　入侵检测　反汇编　虚拟执行 ＲＥＳＥＡＲＣＨＯＮＳＨＥＬＬＣＯＤＥＳＴＡＴＩＣＤＥＴＥＣＴＩＯＮＴＥＣＨＮＩＱＵＥＳ ＧｅＪｉ　ＳｈｉＨｏｎｇ　ＸｕＬｉａｎｇｈｕａ （ＪｉａｎｇｎａｎＩｎｓｔｉｔｕｔｅｏｆＣｏｍｐｕｔｉｎｇＴｅｃｈｎｏｌｏｇｙ，Ｗｕｘｉ２１４０８３，Ｊｉａｎｇｓｕ，Ｃｈｉｎａ） Ａｂｓｔｒａｃｔ　　ＢｕｆｆｅｒｏｖｅｒｆｌｏｗａｔｔａｃｋｉｓｏｎｅｏｆｔｈｅｍｏｓｔｓｅｒｉｏｕｓｔｈｒｅａｔｓｆｏｒＩｎｔｅｒｎｅｔｓｅｃｕｒｉｔｙ，ａｎｄＳｈｅｌｌｃｏｄｅｄｅｔｅｃｔｉｏｎｉｓａｎｅｆｆｅｃｔｉｖｅｍｅｔｈｏｄｔｏ ｃｏｍｂａｔｔｈｉｓｋｉｎｄｏｆａｔｔａｃｋ．ＳｔａｒｔｉｎｇｆｒｏｍｔｈｅｓｔｒｕｃｔｕｒｅａｎｄｃｈａｒａｃｔｅｒｉｓｔｉｃｓｏｆＳｈｅｌｌｃｏｄｅ，ｄｉｆｆｅｒｅｎｔｋｉｎｄｓｏｆｓｔａｔｉｃｄｅｔｅｃｔｉｏｎｔｅｃｈｎｉｑｕｅｓｏｎＳｈｅｌｌ ｃｏｄｅａｒｅｓｔｕｄｉｅｄ，ｔｈｅｉｒａｄｖａｎｔａｇｅｓａｎｄｓｈｏｒｔｃｏｍｉｎｇｓａｒｅａｎａｌｙｓｅｄａｎｄｃｏｍｐａｒｅｄ，ａｎｄｆｉｎａｌｌｙａｄｅｔｅｃｔｉｏｎｓｃｈｅｍｅｂａｓｅｄｏｎｔｈｅｓｅｓｔｕｄｉｅｓｉｓｐｒｏ ｐｏｓｅｄａｎｄｉｔｓｐｒｏｔｏｔｙｐｅｉｓｉｍｐｌｅｍｅｎｔｅｄ． Ｋｅｙｗｏｒｄｓ　　Ｂｕｆｆｅｒｏｖｅｒｆｌｏｗａｔｔａｃｋ　Ｓｈｅｌｌｄｏｃｅ　Ｉｎｔｒｕｓｉｏｎｄｅｔｅｃｔｉｏｎ　Ｄｉｓａｓｓｅｍｂｌｙ　Ｖｉｒｔｕａｌｅｘｅｃｕｔｉｏｎ 静态检测方法，并实现了一个Ｓｈｅｌｌｃｏｄｅ静态检测原型系统。 ０　引　言 １　Ｓｈｅｌｌｃｏｄｅ的构成和检测原理 利用缓冲区溢出安全漏洞是进行网络攻击、获取系统控制 权的重要手段，因此，针对缓冲区溢出攻击的防御技术也就成为 Ｓｈｅｌｌｃｏｄｅ的检测一般从Ｓｈｅｌｌｃｏｄｅ的构成出发，根据其各个 网络安全领域研究的重要内容。 组成部分区别于正常数据流的特征来进行检测。本节分析 攻击者一般通过向目标进程有限长度的缓冲区内写入超长 Ｓｈｅｌｌｃｏｄｅ的构成、特征和最新发展。 的数据，覆盖函数的返回地址或函数指针，使程序跳转到攻击者 １．１　Ｓｈｅｌｌｃｏｄｅ的构成 精心构造的可执行代码中执行［１］。这段攻击者精心构造的可 以典型的栈溢出为例，攻击者在发起攻击时，向目标系统发 执行代码被称为 Ｓｈｅｌｌｃｏｄｅ，一般实现开启Ｓｈｅｌｌ、下载并执行攻 送的数据一般包括随机数据、ＮＯＰ填充字段、Ｓｈｅｌｌｃｏｄｅ功能主 击程序、添加系统帐户等功能。 体和新的函数返回地址，一般将后三部分称为Ｓｈｅｌｌｃｏｄｅ，如图１ 针对缓冲区溢出攻击的不同阶段，出现了多种防护技术，主