基于QEMU的內(nèi)核代碼重用型攻擊檢測系統(tǒng).pdf

1、作為一種新型的攻擊方式，代碼重用型攻擊不需要向系統(tǒng)內(nèi)注入任何代碼，而是僅僅利用已有的（合法）代碼就能實施完整攻擊，危害巨大。代碼重用型攻擊可以繞過多種傳統(tǒng)安全防護機制（比如代碼完整性保護），攻擊的成功率大大增加。利用緩沖區(qū)溢出等技術(shù)手段篡改跳轉(zhuǎn)指令的跳轉(zhuǎn)地址（比如返回地址），可以獲得對系統(tǒng)指令流程的控制；同時，由于跳轉(zhuǎn)指令的數(shù)量巨大，攻擊者可以有多種選擇。雖然研究人員開發(fā)出一些能夠檢測這種攻擊的方法，但是，由于攻擊方式的多樣化和兼容性問

2、題，仍然無法滿足系統(tǒng)安全的需求。
　　論文以QEMU虛擬機管理器為平臺，通過對QEMU源代碼的學(xué)習(xí)與研究，掌握了QEMU動態(tài)二進制翻譯技術(shù)的原理和其TCG（Tiny Code Generator）中間代碼的專業(yè)技術(shù)，并基于此設(shè)計實現(xiàn)了一種代碼重用型攻擊檢測系統(tǒng)。注意到代碼重用型攻擊使用的主要攻擊方式是篡改跳轉(zhuǎn)指令的跳轉(zhuǎn)地址，改變系統(tǒng)指令的執(zhí)行流程，從而達到攻擊的目的，所以需要對內(nèi)核中的跳轉(zhuǎn)指令進行監(jiān)控和檢測。這一類指令主要包括re

3、t指令、間接 call指令和中斷指令。使用QEMU虛擬機管理器運行操作系統(tǒng)內(nèi)核，由于QEMU是基于二進制指令翻譯技術(shù)實現(xiàn)，系統(tǒng)內(nèi)核的每一條指令都會在QEMU虛擬機管理器中翻譯運行。通過對QEMU虛擬機管理器的功能模塊進行修改，遍歷檢測操作系統(tǒng)內(nèi)核中每一條指令，從中識別ret指令、間接call指令和中斷指令的翻譯方式，然后記錄這些指令的跳轉(zhuǎn)目標地址，通過將記錄信息與合法信息進行對比，就可以實現(xiàn)對代碼重用型攻擊的檢測。
　　最后，論文