可控内存写漏洞自动利用生成方法
Automatic exploitation generation method of write-what-where vulnerability作者机构:中国科学院软件研究所可信计算与信息保障实验室北京100190 中国科学院大学计算机科学与技术学院北京100190
出 版 物:《通信学报》 (Journal on Communications)
年 卷 期:2022年第43卷第1期
页 面:83-95页
核心收录:
学科分类:08[工学] 0835[工学-软件工程] 081202[工学-计算机软件与理论] 0812[工学-计算机科学与技术(可授工学、理学学位)]
基 金:国家自然科学基金资助项目(No.U1736209,No.61572483,No.U1836117,No.U1836113,No.62102406) 中国科学院战略性先导科技专项基金资助项目(No.XDC02020300)
主 题:可控内存写 控制流劫持 动态污点分析 漏洞利用要素 自动利用生成
摘 要:针对现有漏洞自动利用生成方法无法实现从“可控内存写到“控制流劫持的自动构造问题,提出一种可控内存写漏洞的自动利用生成方法。首先,基于内存地址控制力度的动态污点分析方法检测可控内存写漏洞;然后,基于漏洞利用模式进行利用要素搜索,通过约束求解自动构造可控内存写漏洞的利用。实验结果表明,所提方法可以有效检测可控内存写漏洞,搜索漏洞利用要素,自动生成从可控内存写到控制流劫持的利用。
维普期刊数据库
同方期刊数据库
