软件缓冲区溢出洞自动化发掘系统.pdf

摘要 摘要 随着恶意代码在互联网上的肆意传播以及黑客攻击事件的不断攀升，网络安全 问题日益严峻。网络安全问题的根本原因就在于计算机系统上的软件安全。如果 计算机上的软件存在安全漏洞，网络黑客以及恶意软件则能借助这些存在漏洞的 软件轻松入侵并最终控制计算机。由于防火墙及入侵检测系统都采用被动防御模 式，因此对于这些利用ODay(未公布的软件安全漏洞)进行攻击和破坏的网络黑 客以及恶意代码，当前的各种防火墙以及入侵检测系统都无法应对。 如果软件厂商能在软件在发布软件之前尽可能多地检测出软件中存在的安全 漏洞，软件安全性将得到极大提升，而且软件维护成本也能有效降低。然而，漏 洞发掘过程极为耗时，而且对手工分析的依赖程度较高，从而导致漏洞发掘效率 低下。 针对上述问题，本文提出了一种新的，具有较高自动化程度的缓冲区溢出漏洞 发掘方法。具体而言，本文提出将fuzzing技术与配置文件相结合，实现异型探测 数据包的自动生成，在此基础上利用Wmdows系统的动态调试接口实现异常的自 动捕获与分析。本文论的主要研究工作如下： 1．深入研究缓冲区溢出机理、缓冲区溢出漏洞利用技术以及缓冲区溢出漏洞 发掘技术； 2．详细论述了基于Windows平台的软件缓冲区溢出漏洞自动化发掘系统 (Marmot原型系统)的设计方案； 3．对原型系统中的关键模块的设计及实现进行了详细说明，包括脚本解析模 块、动态调试及弱函数跟踪模块、异常自动分析模块以及弱函数搜索插件模块等。 4．对系统进行了完整的测试，测试结果表明Marmot原型系统达到了预期的设 计目标。 关键词：自动化，缓冲区溢出，黑盒测试，安全漏洞，漏洞发掘 ABSTRACT ABSTRACT as ashackerattack Asmaliciouscode ontheInternetwell wantonlyspreads eventscontinueto become serious． rise，networksecurityproblems increasingly Sottwareinstalledon istherootofnetwork software computers securityproblems．If installed011 is andmaliciouscodeCan computersvulnerable，hackers easilypenetrate or andcontrol viathesoftwarevulnerabilities．AtfirewallIDS computers present,no Candetectandreactatthisl(iIldofattackbasedon software 0Day(unpublished oftheir defensemode． vulnerability)becausepassive Until vulnerabilitiesarestillthemost meansofattacks now，sofbccare important