基于Windows缓冲区溢出漏洞的植入型木马研究.pdfVIP

学术研究本栏目由保密通信国防科技重点实验室协办 g黉移蓉溶警学黼学簿蹲誉缮爸誊秘誉学翳g黪|疆嚣荔蠹萋 基于Windows缓冲区溢 出漏洞的植入型木马研究 于晗孙龙霞黄承夏 (解放军理工大学通信工程学院) 捅 委：文中苜先讨论。j’缓冲区溢出及其攻击的尕理瞢说明了三种政击方法．藕露讨论了基予缓冲 愿茹凹黼嗣膨艚A型衣写改，广的，老蘑挝术与箕历，毋您，发厉署用攻考彬力。蕴对真蹬行厂筒掌膨彤苘陀分 析÷说明了毯人式本马的弼行性， 关键词：缓冲区溢出 缓冲区溢氆攻击 水马 攻击树分析 多数计算机程序运行时会在内存中创建多个地 引 言 址用于信息储存，同时在内存的两个不同部分(堆 当前，Internet的安全问题已经成为人们关注 栈和堆)中创建存储器。在分配同一数据类型的相 ERT【I 00 的焦点。根据C 1的统计报告，2 1年的安全 邻内存块时，这块内存区域被称为缓冲区。在一些 265 00 事件为5 8起，2 2年、2003年的安全事件分别 高级语言(如c／c++、Pascal等)的函数调用中，缓 209 3752 为8 4起和l 9起，呈现出明显的增长趋势。 冲区是在堆栈上进行分配的。堆栈是一个先进后出 其中，由于堆栈缓冲区溢出漏洞而导致的攻击占了 对列，它的生长方向与内存的生长方向正好相反。 远程网络攻击和渗透的绝大多数。绿盟科技【：l记录 如图2所示。 的l89 l 5条有关漏洞中，溢出漏洞占了4O条，几乎 处理器在函数调用时，将函数的参数、返回地 et ware、 B 涉及到所有类型的操作系统，包括N 址及基址寄存器E P压入对堆栈中，然后把当前的 w ow i nd s、Unix等各种系统及其应用程序。木马 S 栈指针E P作为新的基地址。如果函数有局部变 S 是一种恶意程序，它通过渗透进入对方主机系统， 量，则函数会把栈指针E P减去某个值，为动态局 在用户毫无察觉的情况下，使攻击者获得了远程访 问和控制系统的权限。利用堆栈缓冲区溢出漏洞， 内存低端地址 文本区 ellcod 编写sh e直接向存在此漏洞的目标主机注入木 (己初始化数据) 马程序，并结合病毒技术实现木马程序的感染传播 数据区 (末初始化数据) 是木马技术发展的新方向。 堆栈 内存高端地址 缓冲区溢出原理 图l进程内存映像 一个运行的程序