|
|||||
|
|
| S-Tracker:基于栈异常的shellcode检测方法 | |
| 引用本文: | 梁玉,傅建明,彭国军,彭碧琛.S-Tracker:基于栈异常的shellcode检测方法[J].华中科技大学学报(自然科学版),2014(11):39-46. |
| 作者姓名: | 梁玉 傅建明 彭国军 彭碧琛 |
| 作者单位: | 1. 武汉大学 计算机学院,湖北武汉,430072 2. 武汉大学 计算机学院,湖北武汉430072; 武汉大学 空天信息安全与可信计算教育部重点实验室,湖北武汉430072 3. 武汉大学 计算机学院,湖北武汉430072; 中国证券登记结算有限责任公司,广东深圳518031 |
| 基金项目: | 国家重点基础研究发展计划资助项目(2014CB340600);国家自然科学基金资助项目(61332019,61373168,61202387,61202385);中国博士后科学基金资助项目(2012M510641);武汉市青年科技晨光计划资助项目(2012710367). |
| 摘 要: | 根据shellcode的API函数及系统调用对栈帧的影响,定义了EBP异常、Ret异常和长度异常,并在此基础上提出了基于栈异常的shellcode检测方法——S-Tracker.该方法遍历特定敏感API函数的栈帧链、检测异常、定位漏洞函数和Shellcode代码,并采用栈帧重构解决了栈帧中的EBP缺失或破坏的问题.实验结果表明:S-Tracker能有效检测到基于普通shellcode、混合型shellcode以及纯ROP shellcode的攻击行为,具备追踪shellcode分布区域和EIP跳转函数的功能,且其性能开销较小、没有误报;与微软EMET工具相比,STracker在内核层实现,更加难以被攻击者绕过. |
| 关 键 词: | 软件安全 shellcode检测 栈帧遍历 栈异常 ROP攻击 |
S-Tracker:attribution of shellcode exploiting stack |
|
| Liang Yu , Fu Jianming , Peng Guojun , Peng Bichen.S-Tracker:attribution of shellcode exploiting stack[J].JOURNAL OF HUAZHONG UNIVERSITY OF SCIENCE AND TECHNOLOGY.NATURE SCIENCE,2014(11):39-46. | |
| Authors: | Liang Yu Fu Jianming Peng Guojun Peng Bichen |
| Abstract: | |
| Keywords: | software security shellcode attribution stack walking stack abnormity ROP (return oriented programing)-based attack |
| 本文献已被 CNKI 万方数据 等数据库收录! | |