shellcode攻击与防范技术 被引量：8

1

作者 王颖 李祥和 +1 位作者 关龙 崔宝江 《计算机工程》 CAS CSCD 北大核心 2010年第18期163-165,168,共4页

针对Windows系统环境下,攻击者通过shellcode代码威胁系统安全的问题,研究shellcode攻击与防范方法。分析shellcode代码的工作原理、攻击过程及多种变化,介绍新型Windows系统采用的GS和ASLR保护对shellcode攻击的防范机制,并通过实验验... 针对Windows系统环境下,攻击者通过shellcode代码威胁系统安全的问题,研究shellcode攻击与防范方法。分析shellcode代码的工作原理、攻击过程及多种变化,介绍新型Windows系统采用的GS和ASLR保护对shellcode攻击的防范机制,并通过实验验证其防范效果。结果证明,实施shellcode攻击需要一定的条件,而GS和ALSR可破坏这些攻击条件的形成,有效阻止攻击。 展开更多

关键词 shellcode 代码 编码 定位

在线阅读 下载PDF 职称材料

一种shellcode动态检测与分析技术 被引量：3

2

作者 董鹏程 康绯 舒辉 《小型微型计算机系统》 CSCD 北大核心 2013年第7期1644-1649,共6页

提出一种基于动态二进制平台DynamoRIO的shellcode模型识别与功能分析方法,并实现了基于该方法的原型系统.首先总结了shellcode利用技术,分析了shellcode动态执行特征,利用自动机理论,对shellcode各执行阶段进行了形式化的描述,并给出... 提出一种基于动态二进制平台DynamoRIO的shellcode模型识别与功能分析方法,并实现了基于该方法的原型系统.首先总结了shellcode利用技术,分析了shellcode动态执行特征,利用自动机理论,对shellcode各执行阶段进行了形式化的描述,并给出了各阶段相应的自动机模型及检测分析算法,据此归纳得到shellcode的一般执行模式;其次,提出了一种shellcode的API调用序列分析方法,根据API类型和参数,实现了对shellcode的功能分析.实验结果表明,该方法能够有效检测shell-code,识别执行模式,判定shellcode执行功能.该检测方法对高效检测shellcode、快速判明网络攻击意图和提高对网络攻击事件的响应能力具有重要的应用价值. 展开更多

关键词 shellcode DynamoRIO 动态检测 自动机模型 动态二进制平台

在线阅读 下载PDF 职称材料

基于动态模拟的多态Shellcode检测系统 被引量：2

3

作者 王兰佳 段海新 李星 《计算机工程》 CAS CSCD 北大核心 2008年第13期7-9,共3页

通过分析多态Shellcode的行为特征,提出基于动态模拟的判决准则。以此准则为核心,针对现有方法的性能和应用性较差的问题,设计并实现了一个基于动态模拟的多态Shellcode检测系统,其模块采用多种优化技术以提高系统性能。使用3.3GB实际... 通过分析多态Shellcode的行为特征,提出基于动态模拟的判决准则。以此准则为核心,针对现有方法的性能和应用性较差的问题,设计并实现了一个基于动态模拟的多态Shellcode检测系统,其模块采用多种优化技术以提高系统性能。使用3.3GB实际网络数据和11000个多态Shellcode样本对原型系统进行实验,其虚警和漏警率均为0,提高了系统的吞吐量。 展开更多

关键词 多态shellcode 动态模拟 入侵检测

在线阅读 下载PDF 职称材料

基于堆栈的Windows Shellcode编写方法研究 被引量：1

4

作者 迟强 罗红 乔向东 《计算机工程与设计》 CSCD 北大核心 2010年第6期1198-1201,共4页

为更好地理解与防范缓冲区溢出攻击,对Windows平台下Shellcode的编写、提取技术及验证方法进行了研究。从概念出发,理清了Shellcode与Exploit的区别,分析了Shellcode的工作原理,介绍了利用Shellcode所需的3个步骤。在实验的基础上,总结... 为更好地理解与防范缓冲区溢出攻击,对Windows平台下Shellcode的编写、提取技术及验证方法进行了研究。从概念出发,理清了Shellcode与Exploit的区别,分析了Shellcode的工作原理,介绍了利用Shellcode所需的3个步骤。在实验的基础上,总结了Shellcode的编写方法及提取技术,最后给出了验证Shellcode有效性的方法。 展开更多

关键词 缓冲区溢出 shellcode WINDOWS 堆栈 反汇编

在线阅读 下载PDF 职称材料

一种超椭球免疫理论启发的shellcode检测算法 被引量：1

5

作者 芦天亮 张璐 +2 位作者 蔡满春 杜彦辉 刘颖卿 《小型微型计算机系统》 CSCD 北大核心 2018年第6期1255-1259,共5页

为了解决特征码匹配技术对于未知或多态shellcode检测效率较低的问题,提出一种基于人工免疫系统的shellcode检测算法AIS-SDA.提取shellcode的静态和动态特征,通过反汇编获得汇编指令序列,通过模拟执行获得API函数调用序列,基于n-gram模... 为了解决特征码匹配技术对于未知或多态shellcode检测效率较低的问题,提出一种基于人工免疫系统的shellcode检测算法AIS-SDA.提取shellcode的静态和动态特征,通过反汇编获得汇编指令序列,通过模拟执行获得API函数调用序列,基于n-gram模型编码生成抗原.利用超椭球对免疫检测器编码提高非我空间覆盖率,检测器经历阴性选择算法的免疫耐受后成熟.对成熟检测器克隆和遗传变异,运用超椭球改变朝向、迁移中心和伸缩半轴等手段实现检测器的优化,生成更加优秀的抗体后代.最后,对收集的shellcode样本进行实验验证,结果表明,该方法对非编码和多态shellcode均具有较高的检测准确率. 展开更多

关键词 人工免疫 shellcode检测 超椭球 遗传算法

在线阅读 下载PDF 职称材料

Windows Shellcode自动构建方法研究 被引量：2

6

作者 朱帅 罗森林 柯懂湘 《信息网络安全》 CSCD 2017年第4期15-25,共11页

随着计算机技术的飞速发展,软件的规模及复杂程度在快速增加的同时也带来了极大的安全隐患,各种软件漏洞层出不穷,漏洞利用成为研究的热点。在漏洞利用的过程中,shellcode作为最关键的组件,其质量直接影响到漏洞利用的效果。针对已有的s... 随着计算机技术的飞速发展,软件的规模及复杂程度在快速增加的同时也带来了极大的安全隐患,各种软件漏洞层出不穷,漏洞利用成为研究的热点。在漏洞利用的过程中,shellcode作为最关键的组件,其质量直接影响到漏洞利用的效果。针对已有的shellcode自动构建方法存在兼容性低、对大型shellcode支持性较差、自动化程度及易用性较低的缺点,文章提出一种Windows shellcode自动构建方法。该方法通过编写框架提供编程接口和编程环境,使编写者通过C语言编写shellcode,并将shellcode的编译、生成、提取、测试以及编码和优化过程进行整合,实现x86/x64平台Windows shellcode的自动构建。文章对基于该方法实现的原型系统进行了验证,结果表明,系统在兼容性、可靠性、自动化性能方面均有较好表现,能够利用系统顺利完成shellcode的构建任务,具有较高的实际应用价值。 展开更多

关键词 漏洞利用 shellcode 自动构建

在线阅读 下载PDF 职称材料

基于shellcode检测的缓冲区溢出攻击防御技术研究 被引量：7

7

作者 何乔 吴廖丹 张天刚 《计算机应用》 CSCD 北大核心 2007年第5期1044-1046,1049,共4页

缓冲区溢出攻击对计算机和网络安全构成极大威胁。从缓冲区溢出攻击原理和shellcode实现方式出发,提出针对shellcode的溢出攻击防御技术。描述shellcode获取控制权前后,从代码特点、跳转方式及shellcode恶意功能实现过程等方面入手,检... 缓冲区溢出攻击对计算机和网络安全构成极大威胁。从缓冲区溢出攻击原理和shellcode实现方式出发,提出针对shellcode的溢出攻击防御技术。描述shellcode获取控制权前后,从代码特点、跳转方式及shellcode恶意功能实现过程等方面入手,检测并阻止shellcode以对抗溢出攻击的几种技术。最后对这些技术的优缺点进行比较分析,指出其中较为优秀的方法,并就更全面提高系统安全性提出了一些建议。 展开更多

关键词 缓冲区溢出攻击 缓冲区溢出攻击防御 shellcode HOOK API

在线阅读 下载PDF 职称材料

一种基于双模式虚拟机的多态Shellcode检测方法 被引量：1

8

作者 罗杨 夏春和 +2 位作者 李亚卓 魏昭 梁晓艳 《计算机研究与发展》 EI CSCD 北大核心 2014年第8期1704-1714,共11页

近年来,Shellcode攻击通常利用多态技术进行自我加密来绕过网络层设备的检测,而现有检测方法无法区分多态Shellcode与加壳保护代码.提出了一种基于双模式虚拟机的多态Shellcode检测方法,该方法改进了现有的GetPC定位机制,实现了Shellcod... 近年来,Shellcode攻击通常利用多态技术进行自我加密来绕过网络层设备的检测,而现有检测方法无法区分多态Shellcode与加壳保护代码.提出了一种基于双模式虚拟机的多态Shellcode检测方法,该方法改进了现有的GetPC定位机制,实现了Shellcode的初步定位,通过IA-32指令识别对网络流量的进行进一步过滤,利用有限自动机及其判别条件实现虚拟机控制流模式和数据流模式之间的切换,并通过结合现有的特征匹配技术实现对多层加密的多态Shellcode的检测.实验结果表明,针对大量真实的网络数据,该方法在保证高检测召回率的同时,能够实现对多态Shellcode与加壳保护软件的有效区分,避免了对正常流量的误报行为,并且时间开销介于静态分析与动态模拟之间,为网络层检测多态Shellcode提供了一种有效方法. 展开更多

关键词 多态shellcode GetPC定位 指令识别 虚拟机 控制流模式 数据流模式 Define-Use链

在线阅读 下载PDF 职称材料

Shellcode静态检测技术研究 被引量：1

9

作者 戈戟 史洪 徐良华 《计算机应用与软件》 CSCD 2010年第2期47-49,66,共4页

缓冲区溢出攻击是网络安全的重大威胁,事先检测是否存在Shellcode是对抗缓冲区溢出攻击的有效手段。从Shellcode构成和特征出发,分类研究各种Shellcode静态检测技术,分析比较它们的优缺点,在此基础上提出了一种检测方案并实现了一个原... 缓冲区溢出攻击是网络安全的重大威胁,事先检测是否存在Shellcode是对抗缓冲区溢出攻击的有效手段。从Shellcode构成和特征出发,分类研究各种Shellcode静态检测技术,分析比较它们的优缺点,在此基础上提出了一种检测方案并实现了一个原型系统。 展开更多

关键词 缓冲区溢出攻击 shellcode 入侵检测 反汇编 虚拟执行

在线阅读 下载PDF 职称材料

基于人工免疫理论的shellcode检测方法 被引量：1

10

作者 芦天亮 蔡满春 高见 《计算机应用研究》 CSCD 北大核心 2018年第8期2409-2411,2416,共4页

Shellcode是缓冲区溢出漏洞攻击的核心代码部分,往往嵌入到文件和网络流量载体中。针对特征码匹配等检测手段存在时间滞后、准确率低等问题,结合人工免疫理论,提出一种采用实值编码的shellcode检测方法。收集shellcode样本并进行反汇编... Shellcode是缓冲区溢出漏洞攻击的核心代码部分,往往嵌入到文件和网络流量载体中。针对特征码匹配等检测手段存在时间滞后、准确率低等问题,结合人工免疫理论,提出一种采用实值编码的shellcode检测方法。收集shellcode样本并进行反汇编,利用n-gram模型对汇编指令序列提取特征生成抗原,作为免疫系统未成熟检测器来源,之后经历阴性选择算法的免疫耐受过程生成成熟检测器。对检测器进行克隆和变异,繁衍出更加优良的后代,提高检测器的多样性和亲和度。实验结果表明,该方法对非编码shellcode和多态shellcode均具有较高的检测准确率。 展开更多

关键词 人工免疫系统 shellcode检测 阴性选择算法 克隆选择算法

在线阅读 下载PDF 职称材料

多态shellcode动态检测与特征提取

11

作者 张钢岭 何聚厚 《郑州轻工业学院学报（自然科学版）》 CAS 2010年第4期67-70,共4页

提出了多态shellcode动态检测和特征提取模型:基于模拟执行和动态检测技术,可以有效发现多态shellcode变种和未知攻击方式并生成特征码;基于模拟执行网络代码并以GetPC code和循环解密操作作为行为特征检测网络数据流,对相似可疑数据流... 提出了多态shellcode动态检测和特征提取模型:基于模拟执行和动态检测技术,可以有效发现多态shellcode变种和未知攻击方式并生成特征码;基于模拟执行网络代码并以GetPC code和循环解密操作作为行为特征检测网络数据流,对相似可疑数据流进行聚类并提取字节序列特征.实验结果验证了该模型的可行性和有效性. 展开更多

关键词 多态shellcode 模拟执行 入侵检测 特征提取

在线阅读 下载PDF 职称材料

基于shellcode静态虚拟执行的文档类漏洞恶意代码取证技术研究

12

作者 管林玉 《信息网络安全》 2016年第S1期244-247,共4页

文档类漏洞使用shellcode恶意代码来达成攻击目的。现有的检测取证技术依赖漏洞库和漏洞触发条件下的动态跟踪,对多态shellcode和0day检测效果不理想。文章提出一种静态虚拟代码执行取证方法,可以在不打开和不破坏文档的情况下检测恶意... 文档类漏洞使用shellcode恶意代码来达成攻击目的。现有的检测取证技术依赖漏洞库和漏洞触发条件下的动态跟踪,对多态shellcode和0day检测效果不理想。文章提出一种静态虚拟代码执行取证方法,可以在不打开和不破坏文档的情况下检测恶意代码的存在与执行功能。该方法通过对文档格式的解析,建立静态代码模拟执行系统,可以有效对文档类漏洞进行取证分析。 展开更多

关键词 取证 漏洞检测 shellcode

在线阅读 下载PDF 职称材料

ARMv8 ROP shellcode复杂控制流构造

13

作者 赵利军 董莎莎 《计算机应用与软件》 北大核心 2019年第5期225-230,共6页

一个复杂的ROP shellcode从语义层面经常会用到循环和递归等控制流形式。条件跳转控制流gadget是循环和递归等控制结构的基础。然而ARMv7指令集中的间接条件跳转指令在ARMv8指令集中已经不再存在。ARMv8指令集中的条件跳转指令的目标地... 一个复杂的ROP shellcode从语义层面经常会用到循环和递归等控制流形式。条件跳转控制流gadget是循环和递归等控制结构的基础。然而ARMv7指令集中的间接条件跳转指令在ARMv8指令集中已经不再存在。ARMv8指令集中的条件跳转指令的目标地址的偏移已经被硬编码,不能被使用,所以ARMv8架构下只能通过无条件跳转gadget的重复使用实现循环和递归。这不仅执行效率低,而且浪费了大量的内存空间。基于上述问题,对ARMv7架构的条件跳转gadget进行了分析,提出一种ARMv8架构基于CMP指令和CSEL指令gadget构造条件跳转gadget方法。不仅解决了ARMv7架构基于间接条件跳转指令gadget构造ROP shellcode复杂控制流的方法在ARMv8架构中不再适用的问题,而且通过实验证明了与无条件跳转gadget方法相比,节省了大量的内存空间。 展开更多

关键词 ROP shellcode ARMv8 控制流语义 CMP GADGET CSEL GADGET

在线阅读 下载PDF 职称材料

多态shellcode检测方法研究

14

作者 曹文鹏 苏旸 《计算机应用研究》 CSCD 北大核心 2015年第9期2816-2819,共4页

在以往的多态shellcode检测方法中,基于模拟的动态检测方法主要针对多态shellcode的解码器部分进行检测。尽管这样的检测方法可以在一定程度上检测出目标,但其性能和抗攻击性较差。为了进一步提高检测准确率并降低误报率,在已有的基于... 在以往的多态shellcode检测方法中,基于模拟的动态检测方法主要针对多态shellcode的解码器部分进行检测。尽管这样的检测方法可以在一定程度上检测出目标,但其性能和抗攻击性较差。为了进一步提高检测准确率并降低误报率,在已有的基于模拟的动态检测方法基础上进行了改进,引入了shellcode行为模式匹配机制,按照条件将多态shellcode解码后的行为与常见的攻击行为模式进行匹配,以判断并定位有效负载的位置。最后借助于Libemu系统对上述方法进行了实现和测试,从Metasploit和Nepenthes中提取shellcode样本,并使用编码器生成多态样本,从检测率和误报率两方面对方法进行了检验,实验证明了该方法有更高的有效性与稳定性。 展开更多

关键词 多态shellcode 动态模拟 行为模式匹配

在线阅读 下载PDF 职称材料

基于Windows的结构化异常处理漏洞利用技术 被引量：5

15

作者 吴伟民 郭朝伟 +2 位作者 黄志伟 苏庆 陈秋伟 《计算机工程》 CAS CSCD 2012年第20期5-8,共4页

论述基于Windows的结构化异常处理(SEH)及相关保护机制,从攻击者的角度总结SEH漏洞利用技术。利用堆地址或保护模块之外的地址覆盖SEH句柄指针,绕过SafeSEH机制,伪造SEH链,绕过SEHOP机制,并分析使程序执行流程定位到Shellcode的方法。... 论述基于Windows的结构化异常处理(SEH)及相关保护机制,从攻击者的角度总结SEH漏洞利用技术。利用堆地址或保护模块之外的地址覆盖SEH句柄指针,绕过SafeSEH机制,伪造SEH链,绕过SEHOP机制,并分析使程序执行流程定位到Shellcode的方法。实例验证了SEH漏洞利用技术的有效性。 展开更多

关键词 结构化异常处理 SafeSEH机制 SEHOP机制 漏洞利用技术 shellcode定位

在线阅读 下载PDF 职称材料

远程缓冲区溢出攻击及防护 被引量：3

16

作者 张之刚 周宁 +2 位作者 牛霜霞 莫坚松 刘浩 《重庆理工大学学报（自然科学）》 CAS 2010年第11期80-84,共5页

介绍了Linux系统下缓冲区溢出的原理和shellcode具体实现方法。阐述了远程shellcode从C代码到机器码的编写过程,并从成功率角度对攻击方法进行了分析。利用red hat9.0上的漏洞程序对shellcode进行了测试。对缓冲区溢出常用的防护措施进... 介绍了Linux系统下缓冲区溢出的原理和shellcode具体实现方法。阐述了远程shellcode从C代码到机器码的编写过程,并从成功率角度对攻击方法进行了分析。利用red hat9.0上的漏洞程序对shellcode进行了测试。对缓冲区溢出常用的防护措施进行了分析,提出了应对远程shellcode的基本方法。 展开更多

关键词 缓冲区溢出 远程shellcode 防护

在线阅读 下载PDF 职称材料

缓冲区溢出漏洞分析及防范策略 被引量：6

17

作者 华驰 鲁志萍 王可 《信息安全研究》 2019年第9期812-819,共8页

针对缓冲区溢出漏洞危害的广泛性和严重性,在研究缓冲区溢出漏洞原理的基础上,按照本地缓冲区溢出攻击和远程缓冲区溢出攻击2种方式分析了缓冲区溢出漏洞攻击方法,基于分析结果对2种溢出分别提出了缓冲区溢出漏洞的防范策略.实验证明:... 针对缓冲区溢出漏洞危害的广泛性和严重性,在研究缓冲区溢出漏洞原理的基础上,按照本地缓冲区溢出攻击和远程缓冲区溢出攻击2种方式分析了缓冲区溢出漏洞攻击方法,基于分析结果对2种溢出分别提出了缓冲区溢出漏洞的防范策略.实验证明:对于本地和远程缓冲区的防范策略可以有效解决缓冲区溢出漏洞带来的危害. 展开更多

关键词 缓冲区溢出漏洞 本地缓冲区 远程缓冲区 防范策略 shellcode

在线阅读 下载PDF 职称材料

基于代码执行模拟的远程缓冲区攻击检测方法 被引量：1

18

作者 辛毅 方滨兴 云晓春 《哈尔滨工业大学学报》 EI CAS CSCD 北大核心 2007年第9期1436-1439,共4页

分析了缓冲区溢出攻击的原理和方法,提出了一种新的通用网络缓冲区溢出的检测方法,此检测方法通过代码执行模拟计算网络报文中含有的可执行代码序列的最大长度来进行缓冲区溢出的网络检测.实验证明,该检测方法不仅能快速有效地检测传统... 分析了缓冲区溢出攻击的原理和方法,提出了一种新的通用网络缓冲区溢出的检测方法,此检测方法通过代码执行模拟计算网络报文中含有的可执行代码序列的最大长度来进行缓冲区溢出的网络检测.实验证明,该检测方法不仅能快速有效地检测传统的远程缓冲区溢出的攻击,而且还可以检测变形的shellcode. 展开更多

关键词 远程缓冲区溢出 蠕虫 网络检测 代码执行模拟 变形shellcode

在线阅读 下载PDF 职称材料

基于编译置换的指令随机化系统设计与实现 被引量：1

19

作者 何红旗 王奕森 +1 位作者 董卫宇 朱怀东 《计算机应用与软件》 2017年第12期313-320,共8页

指令集随机化技术是一种通过随机变换程序指令编码来抵御代码注入攻击的新型防御技术。现有指令集随机化技术还存在一定缺陷,如性能损耗大、指令数据混杂造成的编码难等。针对这些问题,提出一种基于编译置换的指令随机化技术。该技术在... 指令集随机化技术是一种通过随机变换程序指令编码来抵御代码注入攻击的新型防御技术。现有指令集随机化技术还存在一定缺陷,如性能损耗大、指令数据混杂造成的编码难等。针对这些问题,提出一种基于编译置换的指令随机化技术。该技术在不降低防御效果的同时减少了随机化指令的数量,并在编译过程中实现了关键指令的随机置换,提高了指令随机化的性能和编码精确度。设计并实现了一套基于编译置换的指令随机化原型系统,验证了该技术的有效性。 展开更多

关键词 指令随机化 编译置换 shellcode DynamoRIO 指令定位

在线阅读 下载PDF 职称材料

一种基于混淆机制的网页木马检测模型的研究与实现 被引量：1

20

作者 杜春来 孙汇中 +1 位作者 王景中 王宝成 《信息网络安全》 2015年第10期1-7,共7页

网页木马是利用网页来进行破坏的恶意程序。当用户访问某些含有网页木马的网站时,木马程序就会通过网页中的内嵌链接被悄无声息地下载。这些木马程序一旦被下载、激活,就会利用系统中的某些资源进行破坏。目前针对网页木马的检测有基于... 网页木马是利用网页来进行破坏的恶意程序。当用户访问某些含有网页木马的网站时,木马程序就会通过网页中的内嵌链接被悄无声息地下载。这些木马程序一旦被下载、激活,就会利用系统中的某些资源进行破坏。目前针对网页木马的检测有基于特征码的静态检测方案和基于蜜罐客户端的动态检测方案,但这两种检测方案都无法很好地解决网页木马日益增多、混淆和躲避检测手段的问题。文章结合这两种网页木马检测方案的优点,提出一种基于网页内容分析和Shellcode定位识别的反混淆技术,该技术能够解决内嵌链接在动态验证时由于交互条件不存在而造成的漏报。在此基础上,加入动态和静态检测机制,建立了一种网页木马检测模型。实验数据表明,该模型能够准确地检测各种加壳、加密、变形等网页木马,提高了木马检测效率。 展开更多

关键词 网页木马 内容分析 shellcode定位 反混淆 加密

在线阅读 下载PDF 职称材料