检索结果-南通市图书馆

在线全文

学校读者我要写书评

暂无评论

一种shellcode动态检测与分析技术

小型微型计算机系统 2013年第7期34卷 1644-1649页

作者：董鹏程康绯舒辉解放军信息工程大学信息工程学院郑州450002

提出一种基于动态二进制平台DynamoRIO的shellcode模型识别与功能分析方法,并实现了基于该方法的原型系统.首先总结了shellcode利用技术,分析了shellcode动态执行特征,利用自动机理论,对shellcode各执行阶段进行了形式化的描述,并给出... 详细信息

提出一种基于动态二进制平台DynamoRIO的shellcode模型识别与功能分析方法,并实现了基于该方法的原型系统.首先总结了shellcode利用技术,分析了shellcode动态执行特征,利用自动机理论,对shellcode各执行阶段进行了形式化的描述,并给出了各阶段相应的自动机模型及检测分析算法,据此归纳得到shellcode的一般执行模式;其次,提出了一种shellcode的API调用序列分析方法,根据API类型和参数,实现了对shellcode的功能分析.实验结果表明,该方法能够有效检测shell-code,识别执行模式,判定shellcode执行功能.该检测方法对高效检测shellcode、快速判明网络攻击意图和提高对网络攻击事件的响应能力具有重要的应用价值.

关键词： shellcode DynamoRIO 动态检测自动机模型动态二进制平台

基于shellcode检测的缓冲区溢出攻击防御技术研究

在线全文

学校读者我要写书评

暂无评论

计算机应用 2007年第5期27卷 1044-1046,1049页

作者：何乔吴廖丹张天刚江南计算技术研究所江苏无锡214083

缓冲区溢出攻击对计算机和网络安全构成极大威胁。从缓冲区溢出攻击原理和shellcode实现方式出发,提出针对shellcode的溢出攻击防御技术。描述shellcode获取控制权前后,从代码特点、跳转方式及shellcode恶意功能实现过程等方面入手,检... 详细信息

缓冲区溢出攻击对计算机和网络安全构成极大威胁。从缓冲区溢出攻击原理和shellcode实现方式出发,提出针对shellcode的溢出攻击防御技术。描述shellcode获取控制权前后,从代码特点、跳转方式及shellcode恶意功能实现过程等方面入手,检测并阻止shellcode以对抗溢出攻击的几种技术。最后对这些技术的优缺点进行比较分析,指出其中较为优秀的方法,并就更全面提高系统安全性提出了一些建议。

关键词：缓冲区溢出攻击缓冲区溢出攻击防御 shellcode Hook API

ARMv8 ROP shellcode复杂控制流构造

在线全文

学校读者我要写书评

暂无评论

计算机应用与软件 2019年第5期36卷 225-230页

作者：赵利军董莎莎陆军工程大学军事理论创新与作战实验中心江苏徐州221000

一个复杂的ROP shellcode从语义层面经常会用到循环和递归等控制流形式。条件跳转控制流gadget是循环和递归等控制结构的基础。然而ARMv7指令集中的间接条件跳转指令在ARMv8指令集中已经不再存在。ARMv8指令集中的条件跳转指令的目标地... 详细信息

一个复杂的ROP shellcode从语义层面经常会用到循环和递归等控制流形式。条件跳转控制流gadget是循环和递归等控制结构的基础。然而ARMv7指令集中的间接条件跳转指令在ARMv8指令集中已经不再存在。ARMv8指令集中的条件跳转指令的目标地址的偏移已经被硬编码,不能被使用,所以ARMv8架构下只能通过无条件跳转gadget的重复使用实现循环和递归。这不仅执行效率低,而且浪费了大量的内存空间。基于上述问题,对ARMv7架构的条件跳转gadget进行了分析,提出一种ARMv8架构基于CMP指令和CSEL指令gadget构造条件跳转gadget方法。不仅解决了ARMv7架构基于间接条件跳转指令gadget构造ROP shellcode复杂控制流的方法在ARMv8架构中不再适用的问题,而且通过实验证明了与无条件跳转gadget方法相比,节省了大量的内存空间。

关键词： ROP shellcode ARMv8 控制流语义 CMP gadget CSEL gadget

基于堆栈的Windows shellcode编写方法研究

在线全文

学校读者我要写书评

暂无评论

计算机工程与设计 2010年第6期31卷 1198-1201页

作者：迟强罗红乔向东空军工程大学电讯工程学院陕西西安710077

为更好地理解与防范缓冲区溢出攻击,对Windows平台下shellcode的编写、提取技术及验证方法进行了研究。从概念出发,理清了shellcode与Exploit的区别,分析了shellcode的工作原理,介绍了利用shellcode所需的3个步骤。在实验的基础上,总结... 详细信息

为更好地理解与防范缓冲区溢出攻击,对Windows平台下shellcode的编写、提取技术及验证方法进行了研究。从概念出发,理清了shellcode与Exploit的区别,分析了shellcode的工作原理,介绍了利用shellcode所需的3个步骤。在实验的基础上,总结了shellcode的编写方法及提取技术,最后给出了验证shellcode有效性的方法。

关键词：缓冲区溢出 shellcode Windows 堆栈反汇编

基于数据挖掘算法的shellcode检测研究与实现

在线全文

学校读者我要写书评

暂无评论

基于数据挖掘算法的shellcode检测研究与实现

作者：刘宇扬北京邮电大学

学位级别：硕士

二进制程序安全一直是安全领域的重中之重。shellcode是二进制程序漏洞利用的核心代码,是取得目标机器控制权进而达到攻击者想要执行的操作必不可少的一小段二进制字节。因此对shellcode的检测是二进制程序安全防护中非常重要的一部分。... 详细信息

二进制程序安全一直是安全领域的重中之重。shellcode是二进制程序漏洞利用的核心代码,是取得目标机器控制权进而达到攻击者想要执行的操作必不可少的一小段二进制字节。因此对shellcode的检测是二进制程序安全防护中非常重要的一部分。shellcode可能内嵌于暗藏恶意的本地的文件中,也可能出现在注入攻击的网络流量之中。对shellcode进行检测,是网络IDS、蜜罐系统等必不可少的核心功能。常规的shellcode检测技术依靠人工提取的静态字节特征进行检测,随着网络攻击和防御技术地协同进化,不断有新的编写技术、变形技术、编码技术和多态技术被用来规避针对shellcode的检测,当今的常规检测方案已经渐渐不能适应日益复杂多变的网络安全环境。本文针对shellcode的检测问题进行了分析研究,提出并实现了一种基于数据挖掘算法的shellcode检测模型。首先,本文针对各种shellcode技术进行了说明,论证了基于指令序列建模的可行性。其次,分析和比对了静态和动态方法获取指令序列的优势劣势,论证了选取静态反汇编的可行性和必然性。再次,本文将自然语言处理中的词袋模型应用到shellcode检测的具体场景,使得本系统不依赖于特定的特征而从数据中自动学习特征,因此能实现更广范围的检测和更高的准确率。接着,本文在模型的基础上设计和实现了一个流量shellcode检测系统,通过一个统一的模型对shellcode解码段和普通shellcode进行双层检测,保证了其对各种shellcode的检测能力。最后,通过可靠来源的数据集设计实验,验证了该基于数据挖掘算法shellcode检测模型的有效性,验证了流量shellcode检测系统的检测效果。本文设计和实现的系统和shellcode检测库libemu进行了对比实验。实验表明,本文的系统有更好的检测效果和更全面的检测范围。其对采用多种技术的普通、变形、编码和多态shellcode都具有较好的检测效果和较高的检测效率。

关键词： shellcode 词袋模型 SVM 静态反汇编

同方学位论文库评论

在线全文

同方学位论文库

学校读者我要写书评

暂无评论

恶意代码shellcode检测技术研究

恶意代码Shellcode检测技术研究

作者：檀凯哈尔滨工程大学

学位级别：硕士

由于现在广泛使用的计算机操作系统和大量的软件都是使用非安全编程语言C和C++来开发完成的,在软件和系统开发中存在很多的安全隐患。因此,当前网络中存在大量的恶意攻击行为,严重的威胁着计算机的安全。而主要针对相应漏洞实施攻击的... 详细信息

由于现在广泛使用的计算机操作系统和大量的软件都是使用非安全编程语言C和C++来开发完成的,在软件和系统开发中存在很多的安全隐患。因此,当前网络中存在大量的恶意攻击行为,严重的威胁着计算机的安全。而主要针对相应漏洞实施攻击的攻击载体是恶意代码shellcode。现有的检测技术在检测多态的shellcode时,无法准确定位和识别恶意代码,使得检测效果并不理想。因此,如何提高恶意代码shellcode的检测准确率成为本文研究的重要内容。本论文主要通过研究shellcode的组成结构以及攻击计算机时所使用的相关技术,提出一种有效的基于相似性匹配检测技术方案。该方案主要通过结合静态和动态检测技术来提高检测效果。针对经过多态编码处理后的shellcode,以解码指令序列和内存多次读写访问这两种异常行为作为检测方案的检测依据。而对于普通未编码处理的恶意代码,则通过相似性匹配进行判断定性。为了验证本文提出的基于相似性匹配检测技术方法的有效性。本文在试验中,通过现有的 shellcode 多态引擎(MetaSploit、ADMmutate、CLET 和Jempiscodes)生成真实攻击实例样本。并添加日常工作中的安全数据进行对比测试。以检测效果、误报率、漏报率和性能消耗作为验证指标。测试结果显示本文提出检测技术方法达到了预期结果,对多态和普通的shellcode检测效果高效准确。并且具有较低的误报漏报率和很快的检测速率。

关键词： shellcode 缓冲区溢出攻击多态编码技术检测技术

Windows shellcode自动构建方法研究

同方学位论文库评论

在线全文

同方学位论文库

学校读者我要写书评

暂无评论

信息网络安全 2017年第4期 15-25页

作者：朱帅罗森林柯懂湘北京理工大学信息系统及安全对抗实验中心北京100081

随着计算机技术的飞速发展,软件的规模及复杂程度在快速增加的同时也带来了极大的安全隐患,各种软件漏洞层出不穷,漏洞利用成为研究的热点。在漏洞利用的过程中,shellcode作为最关键的组件,其质量直接影响到漏洞利用的效果。针对已有的s... 详细信息

随着计算机技术的飞速发展,软件的规模及复杂程度在快速增加的同时也带来了极大的安全隐患,各种软件漏洞层出不穷,漏洞利用成为研究的热点。在漏洞利用的过程中,shellcode作为最关键的组件,其质量直接影响到漏洞利用的效果。针对已有的shellcode自动构建方法存在兼容性低、对大型shellcode支持性较差、自动化程度及易用性较低的缺点,文章提出一种Windows shellcode自动构建方法。该方法通过编写框架提供编程接口和编程环境,使编写者通过C语言编写shellcode,并将shellcode的编译、生成、提取、测试以及编码和优化过程进行整合,实现x86/x64平台Windows shellcode的自动构建。文章对基于该方法实现的原型系统进行了验证,结果表明,系统在兼容性、可靠性、自动化性能方面均有较好表现,能够利用系统顺利完成shellcode的构建任务,具有较高的实际应用价值。

关键词：漏洞利用 shellcode 自动构建

一种基于动态行为映射模型的shellcode检测方法

在线全文

学校读者我要写书评

暂无评论

信息工程大学学报 2015年第1期16卷 117-122页

作者：花超唐黎康绯数学工程与先进计算国家重点实验室河南郑州450001 江南计算技术研究所江苏无锡214083

提出了一种基于动态模拟执行的shellcode分析与检测方法。该方法针对当前自修改和分段执行类shellcode的特点,建立动态行为映射模型严格刻画了shellcode模拟动态行为过程特征,给出了关于自修改和分段执行类shellcode的行为轨迹序列,然... 详细信息

提出了一种基于动态模拟执行的shellcode分析与检测方法。该方法针对当前自修改和分段执行类shellcode的特点,建立动态行为映射模型严格刻画了shellcode模拟动态行为过程特征,给出了关于自修改和分段执行类shellcode的行为轨迹序列,然后设计了基于有限状态自动机的快速检测算法并实现了原型系统。实验结果表明,该方法能够有效检测当前自修改与分段执行类shellcode,并且与现有主流shellcode检测工具相比,可以达到较好的检测效果。

关键词： shellcode 自修改分段执行动态行为映射行为轨迹序列自动机

在线全文

学校读者我要写书评

暂无评论

shellcode静态检测技术研究

计算机应用与软件 2010年第2期27卷 47-49,66页

作者：戈戟史洪徐良华江南计算技术研究所江苏无锡214083

缓冲区溢出攻击是网络安全的重大威胁,事先检测是否存在shellcode是对抗缓冲区溢出攻击的有效手段。从shellcode构成和特征出发,分类研究各种shellcode静态检测技术,分析比较它们的优缺点,在此基础上提出了一种检测方案并实现了一个原... 详细信息

缓冲区溢出攻击是网络安全的重大威胁,事先检测是否存在shellcode是对抗缓冲区溢出攻击的有效手段。从shellcode构成和特征出发,分类研究各种shellcode静态检测技术,分析比较它们的优缺点,在此基础上提出了一种检测方案并实现了一个原型系统。

关键词：缓冲区溢出攻击 shellcode 入侵检测反汇编虚拟执行