动态二进制翻译中可控缓冲区攻击.pdfVIP

动态二进制翻译中可控缓冲区攻击1 Controllable Buffer Overflow Attack in Dynamic Binary Translation 唐锋 马湘宁 武成岗 张兆庆 （中科院计算所系统结构室编译组，北京，100080） E-mail:tf@ict.ac.cn 摘要： 动态二进制翻译是在运行的时候根据执行路径翻译源机器代码到目标机器。因为执行时 可以具体知道将要翻译的指令所在的位置，根据将要翻译的指令的pc 地址就可以判断是否 是缓冲区溢出引起的恶意代码。 abstract: It translates the source binary code into target code based on the execution path in dynamic translation. We can know the program count (PC) of the code to be translated in the run time. According to the PC of code to be translated, we can tell the evil code by the stack based buffer overflow attack.. 关键字： 动态二进制翻译 缓冲区溢出 keyword: dynamic binary translation buffer overflow 1 本项目受到国家自然科学基金项目“动静态信息结合的编译优化方法的研究”（批准号）的资 助 1．引言 缓冲区溢出攻击（buffer overflow attack ）是现在因特网上普遍而且危险的攻击方式。 缓冲区溢出主要是利用现有程序的一个特殊漏洞：编译器或者程序中没有对数组，缓冲 区的越界检查。 通常的缓冲区攻击，因为buffer 没有越界检查，所以可以用shell code(攻击者为了 取得shell 的控制权而精心编写的代码) 覆盖堆栈中的原有内容，并且最后用shell code address （指向shell code 的地址）覆盖原来的函数返回地址，那么当执行到ret 指令时， 本来EIP （原来的返回地址）从栈里取出来放入PC （program count 指向下一条将要执 行的指令）中，但是EIP 已经因缓冲区的溢出，而被shell code address 覆盖，所以一旦 执行 ret 语句，程序的流程将不会返回到原来的函数调用点，而是转而执行由攻击者精 心设计的shell code,通过堆栈里shell code 的执行，取得控制权，最后攻击成功。这是最 普遍的一种缓冲区攻击，攻击者实现的方法可能有所不同，但是都需要用 shell code address 覆盖原来的返回地址， 因为shell code 是利用缓冲区溢出而嵌入的，而缓冲区本 身的地址是在堆栈中的，所以shell code 也是存放在堆栈中，因此覆盖EIP 的shell code address 也是指向堆栈的，所以堆栈指针sp(stack pointer)和shell code address 相差不大, 这一点相当重要，我们的缓冲区溢出解决方案就是基于这个理论基础。 二进制翻译是用软件的方法把一种机器上的可执行二进制代码翻译成另一种机器 上的二进制代码的过程。它最先运用在代码迁移，即在没有源程序的情况下把一种平台 上的二进制代码迁移到另外一种平台之上。它有助于打破 ISA （Instruction Set Architecture ）和其软件基础之间形成的相互扼制创新的局面，有助于厂商开发新ISA 机器，同时也使得一种机器上的二进制程序能够