jit引擎的安全性分析以及保护工具的设计与实现-security analysis of jit engine and design and implementation of protection tools.docx

下载文档 降价啦

15
0
约5.39万字
约 64页
2018-05-29 发布于上海
举报
版权申诉
保障服务

jit引擎的安全性分析以及保护工具的设计与实现-security analysis of jit engine and design and implementation of protection tools.docx

1、本文档共64页，可阅读全部内容。
2、原创力文档（book118）网站文档一经付费（服务费），不意味着购买了该文档的版权，仅供个人/单位学习、研究之用，不得用于商业用途，未经授权，严禁复制、发行、汇编、翻译或者网络传播等，侵权必究。
3、本站所有内容均由合作方或网友上传，本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺！文档内容仅供研究参考，付费前请自行鉴别。如您付费，意味着您自己接受本站规则且自行承担风险，本站不退款、不进行额外附加服务；查看《如何避免下载的几个坑》。如果您已付费下载过本站文档，您可以点击这里二次下载。
4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等，请点击“版权申诉”（推荐），也可以打举报电话：400-050-0827(电话支持时间：9:00-18:30)。

jit引擎的安全性分析以及保护工具的设计与实现-security analysis of jit engine and design and implementation of protection tools

摘要实时编译执行（Just-In-Time execution ，后文简称为 JIT）可以大大提高代码执行效率，其应用非常广泛，绝大部分浏览器，tamarin, Java, Python, Ruby 等都采用 JIT 技术。为了达到较高的执行效率，JIT 引擎直接分配具有 RWX（readable, writable and executable, 读写可执行）权限的内存到可预期的偏移，违背了 DEP (data execution prevention) 和 ASLR (address space layout randomization)安全措施。本文的调查发现大多数 JIT 引擎没有任何基于安全性的考虑，只有很少一部分JIT 引擎提供了一些保护措施，而且这些措施对未来攻击的作用还具有不确定性。因此开发一款应用于多种 JIT 引擎，防止攻击者以 JIT 引擎为跳板绕过 DEP，ASLR 的保护，就是本文的研究意义所在。论文的主要内容包括：1.本文首先对应用广泛的 JIT 引擎的安全性进行了研究，分析得出 JIT 引擎的主要安全隐患为：直接分配具有 RWX 权限内存到可预期的偏移位置；2.分析了常见的基于 JIT 引擎进行的攻击模式，分析了工作原理，以及防范方法，并编写了针对 JIT 引擎的攻击测试样本；3.分析了现有的 JIT 引擎保护工具，针对现有工具的不足，设计和实现了一种 JIT 保护工具，在无需修改 JIT 引擎源码的情况下，在系统开销可接受范围内使 JIT 引擎免受现在基于 JIT 引擎的多种攻击，并在工具中加入了针对将来有可能大范围爆发的基于 JIT 引擎的 dangling pointers 攻击的防范措施。关键词：JIT 引擎dangling pointers保护技术AbstractJust-In-Time compilation technique (JIT) can improve the efficiency of code execution greatly. Almost all web browsers have implemented JIT into their already complex code bases to increase their /w/efficiency/efficiency, and so as Java, Perl, Python, Ruby and Flash. To be highly effective, JIT engines allocate memory with RWX permissions to predictable offsets which go against DEP (data execution prevention) and ASLR (address space layout randomization).The research of this paper shows that most JIT engines have little security consideration. Only a few JIT engines have adopted some hardening techniques, but their effectiveness against future exploits is uncertain. So it is necessary to develop a defense tool to prevent attacks from bypassing StackGuard, DEP and ASLR.The main content of this paper can be summarized as follows:This paper researches the security of widely-deployed JIT engines, and obtains the potential risk of JIT engines: JIT engines allocate memory with RWX permissions to predictable offsets;This paper analyses some normal JIT-based attack models and writes some test examples for JIT engines;This paper analyses the available JIT defense tools. According to their shortcomings, designs