一種基于代碼和數(shù)據(jù)分離的代碼復(fù)用攻擊防御方法.pdf

1、代碼復(fù)用攻擊是一種不需要引入外部代碼，利用庫函數(shù)或程序自身代碼達(dá)到攻擊目的的攻擊方式。它具備圖靈完全計(jì)算能力，同時(shí)極具威脅性和隱蔽性。雖然如今主流的操作系統(tǒng)通過使用DEP（Data Execution Prevention）和ASLR（Address Space Layout Randomization）等防御策略，能夠阻止傳統(tǒng)的代碼注入攻擊和靜態(tài)的代碼復(fù)用攻擊。但是動(dòng)態(tài)代碼復(fù)用攻擊的出現(xiàn)打破了DEP和ASLR筑建的防護(hù)壁壘，向計(jì)算機(jī)系

2、統(tǒng)安全發(fā)起了新的挑戰(zhàn)。
　　針對代碼復(fù)用攻擊需要“掃描”內(nèi)存來構(gòu)造具有攻擊力的gadget（代碼復(fù)用片段）鏈這一特征，提出了一種基于代碼和數(shù)據(jù)分離的代碼復(fù)用攻擊防御方法。該方法在虛擬機(jī)管理器層，利用虛擬多TLB機(jī)制分離代碼的讀和執(zhí)行，阻止攻擊者構(gòu)造gadget鏈，從而達(dá)到防御代碼復(fù)用攻擊的目的。虛擬多TLB機(jī)制是指對現(xiàn)有虛擬機(jī)的內(nèi)存管理單元進(jìn)行擴(kuò)充（即新增一個(gè)與TLB具有相似結(jié)構(gòu)和功能的DTLB）。為了改變以前代碼同時(shí)具有可讀可執(zhí)

3、行的混合權(quán)限，將代碼和數(shù)據(jù)分別保存到只讀和只可執(zhí)行的內(nèi)存區(qū)域，然后利用TLB和DTLB分別對代碼和數(shù)據(jù)進(jìn)行訪問。
　　以開源虛擬機(jī)QEMU為開發(fā)平臺(tái)，構(gòu)建了基于代碼和數(shù)據(jù)分離的代碼復(fù)用攻擊防御系統(tǒng)。整個(gè)防御過程分成預(yù)處理、頁面加載和頁面訪問三個(gè)階段。其中，預(yù)處理階段分離出代碼中的數(shù)據(jù)并將它們作為一個(gè)新段保存到可執(zhí)行文件中，頁面加載時(shí)將代碼和數(shù)據(jù)加載到不同屬性的內(nèi)存區(qū)域，頁面訪問實(shí)現(xiàn)代碼的讀和執(zhí)行的分離。
　　經(jīng)過測試，原型系