基于代码插装的缓冲区溢出漏洞定位技术.pdfVIP

第 38卷 第9期 计 算 机 工 程 2012年 5月 v0l_38 No．9 ComputerEngineering May 2012 · 安全技术 · 文章编号：l0o0_-3428(20l2)09．__ol38—03 文献标识码：A 中圈分类号tTP309 基于代码插装的缓冲区溢出漏洞定位技术 史胜利 (包头师范学院信息科学与技术学院，内蒙古 包头 014030) 摘 要：为准确快速地找到缓冲区溢出漏洞点，提出一种通过代码插装对二进制文件中的缓冲区溢出漏洞自动定位的方法。使用PIN提供 的函数编写程序分析工具，在程序执行过程中记录所需的信息。当检测到内存访问错误异常时，判别破坏内存的情况，获取内存破坏点， 查找到非法写内存的指令定位漏洞。实例分析表明，该方法不需要源程序且效率较高，能成功地定位常见的缓冲区溢出漏洞。 关糊 ：漏洞定位；代码插装；返回地址；函数指针；异常；缓冲区溢出 BufferOverflow VulnerabilityLocationTechnology BasedonCodeInstrumentation SHISheng—li (SchoolofInformationScienceandTechnology,BaotouTeacherCollege，Baotou014030，China) [Abstract]Inordertofindbufferoverflowvulnerabilitypointaccuratelyandrapidly,thispaperproposesamehtodthatcallfmdbufferoverflow vulnerabilitiesin binary filehtrough codeinstrumentation．ItusesplentifulfunctionsPNI providingtomakeprogram analysistoolandsaves infomr ationneededduringprogram execution．Whendetectingmemo~ accessviolationexception，itdistinguisheswhatclassofmemo~ corruption andobtainsmemo~ corruptionpointandseeksillegalmemo~ writinginstructiontOlocatevulnerabiliyt．Exampleanalysisshowsthatthemehtod doesnotneedsourceprogram，andhashigherefficiency,itcanlocatepopularbufferoverflowvulnerabilitiessuccessfully． [Keywords]vulnerabilitylocation；codeinstrumentation；returnaddress；functionpointer；exception；bufferoverflow D0I：10．3969／j．issn．1000-3428．2012．09．041 1 概述 编译器做很大的修改。现有的漏洞定位方法主要是当产生异 信息技术广泛地应用于社会的各个领域，信息安全也是 常或判断有可能产生异常时，根据产生异常的指令和现场信 人们经常关注的重要内容。微软定期发布有关软件的漏洞， 息来查找非法写内存的指令，确定漏洞位置。 越来越多有关缓冲区溢出的漏洞在CERT上发布出来。由于 要确定产生异常的指令大致有2种方法：(1)系统在执行 程序语言本身或是开发程序环节的问题，导致大量的软件漏 指令时对产生的异常给出的异常提示信息；(2)根据内存数据