动态链接库预加载漏洞检测方法.pdfVIP

第 9卷 第 4期 信 息 与 电 子 工 程 VO1．9．NO． 4 2011年 8月 INFORMATION AND ELECTRONIC ENGINEERINC Aug． ，2011 文章编号 ：1672—2892(2011)04—0515-04 动态链接库预加载漏洞检测方法 彭 帝，周安 民，方 勇 ，刘 亮 (四川大学 信息安全研究所 ，四川 成都 610065) 摘 要 ：目前操作系统中的安全机制使常规的溢出漏洞难 以被利用，动态链接库(DLL)预加载 攻击能够绕过这些保护机制 ，执行恶意指令。为 了防范该攻击，介绍两种 DLL预加载漏洞的检测 方法。基于这两种方法，设计 了新的基于系统调用监控的检测方法，并提 出了相应的防范措施 。 实验结果表明，该方法具有一定的有效性和可靠性，能够检测 出主流软件中存在的此类漏洞。 关键词 ：DLL预加载攻击 ；DLL劫持 ；检测 ；防范 中图分类号 ：TN915．08；TP309 文献标识码 ：A AmethodfordetectingDynamicLinkLibrarypreloadvulnerability PENG Di， ZHOU An．min， FANGYong， LIU Liang (InstituteofInformationSecurity，SichuanUniversity，ChengduSichuan610065，China) Abstract：Thewidelyusedmitigationtechnologieshavemadesoftwareexploitingamuchdifficulttask today．DynamicLinkLibrary(DLL)preloadattack，whichcanbypassthesesecuritymechanisms，isinthe wildnowadays．TwomethodsarepresentedtodetectDLL preloadsvulnerability．A moreeffective，reliable methodbased on themonitoringofsystem callisproposed，and somerelativemeasuresare suggested to preventfrom DLL preloadattack．Theexperimentresultsindicatethattheproposedmethod can detectthe preloadflawsinmainstream applications，whichisofcertainefficiencyandreliability． Keywords：DLLpreloadattack；DLLhijack；detect；mitigation 通常动态链接库fDLL)并不能直接执行，程序运行时，若需要调用某个 DLL中的函数，程序就会动态加载此 DLL。正是 由于 DLL的动态插装性 ，大大增加了程序的模块化和可移植性。但是 ，这也引入了新的问题 ，即DLL 预加载攻击 ，或者称其为 DLL劫持…。该攻击利用系统加载存在的漏洞(KB2269637)[21执行任意指令，已经大规 模传播的利用 DLL 劫持技术的漏洞包括快捷方式执行漏洞 (CVE．2010-2568) 和 Outlook远程文件执行漏洞 (CVE一2010-0266)[引。早期的DLL劫持攻击需要在宿主机上写入文件 ，所 以并未引起软件厂商的较大重视 。近 日， DLL劫持技术已经可以实现远程利用，包括微软操作系统和大量第三方软件均受影响。所以，如何检测和修复 此漏洞值得深入研究 。 1 DLL加载与劫持攻击 在 Windows操作系统中，一个进程可 以通过两种方式加载外部的动态连接库。1)隐式链接 ：使用 DLL的可 执行文件链接到该 DLL的创建者所提供 的导入库(．1ib)文件 。可执行文件运行时，由操作系统加载该 DL