基于編譯器的操作系統(tǒng)內(nèi)核控制數(shù)據(jù)保護(hù).pdf

1、隨著網(wǎng)絡(luò)互聯(lián)、網(wǎng)絡(luò)安全技術(shù)和各種高級網(wǎng)絡(luò)應(yīng)用技術(shù)的飛速發(fā)展，現(xiàn)代操作系統(tǒng)面臨著各種各樣的安全威脅。其中，內(nèi)核級rootkits由于具有良好的隱蔽性，可以長時間的駐留在被注入的系統(tǒng)內(nèi)核空間，通常具有系統(tǒng)的最高權(quán)限，危害巨大。為了應(yīng)對這些攻擊，需要對操作系統(tǒng)的內(nèi)核代碼和內(nèi)核數(shù)據(jù)進(jìn)行全面保護(hù)。其中，內(nèi)核代碼和靜態(tài)的內(nèi)核數(shù)據(jù)由于可以被設(shè)置為只讀，并且它們在內(nèi)存中的位置確定，保護(hù)起來相對比較直觀。然而，動態(tài)的內(nèi)核數(shù)據(jù)由于其無法確定的存放位置和易變

2、性，保護(hù)起來難度較大。作為動態(tài)內(nèi)核數(shù)據(jù)的重要組成部分，內(nèi)核控制數(shù)據(jù)決定了內(nèi)核執(zhí)行的整體控制流程，常常成為攻擊者的目標(biāo)。通過改寫一個控制數(shù)據(jù)（比如函數(shù)返回地址），攻擊者就能夠改變系統(tǒng)原有的控制流程，將其引導(dǎo)到自己的惡意代碼或精心設(shè)計的執(zhí)行流程上。
　　為了全面和有效的保護(hù)內(nèi)核控制數(shù)據(jù)，包括函數(shù)指針和函數(shù)返回地址，論文設(shè)計并實現(xiàn)了一種基于編譯器的內(nèi)核控制數(shù)據(jù)保護(hù)機制，防御針對操作系統(tǒng)內(nèi)核控制流程的攻擊。更進(jìn)一步講，通過修改編譯器，在源

3、代碼編譯階段識別、定位和轉(zhuǎn)換操作系統(tǒng)內(nèi)核中與控制數(shù)據(jù)相關(guān)的所有指令來實現(xiàn)內(nèi)核控制數(shù)據(jù)的索引機制。該機制為每個控制數(shù)據(jù)分配一個索引，這個索引指向收集了系統(tǒng)中所有有效跳轉(zhuǎn)地址的表格的某個單元；通過指令轉(zhuǎn)換，在進(jìn)行程序跳轉(zhuǎn)時，不直接使用控制數(shù)據(jù)，而是利用它所對應(yīng)的跳轉(zhuǎn)表格索引去查找跳轉(zhuǎn)表格，獲得真正有效的跳轉(zhuǎn)地址來間接執(zhí)行。同時，該機制借助位于操作系統(tǒng)之下的Hypervisor層（如KVM）來保護(hù)跳轉(zhuǎn)表格（例如將存放表格的頁面設(shè)置為只讀），從

4、而提供了對內(nèi)核控制數(shù)據(jù)的保護(hù)。
　　為了驗證保護(hù)機制，論文基于開源的GCC-4.6.4編譯器－設(shè)計并實現(xiàn)了原型系統(tǒng)。原型系統(tǒng)重新編譯了Linux-3.11.1/X86-AMD64版本的內(nèi)核，提供了對其控制數(shù)據(jù)的保護(hù)。原型系統(tǒng)一共修改了內(nèi)核中35828條direct call指令、2389條indirect call指令、14010條ret指令和1198條mov指令，修改指令總數(shù)為53425條，占原內(nèi)核指令總數(shù)的8.39％。內(nèi)核容量