二进制领域的攻防对抗

摘要随着计算机及网络的快速发展，计算机的安全问题越来越受到人们的重视。

面向返回的编程Return-oriented-progrming（ROP）攻击是一种典型攻击计算机的方式，它通过将动态链接库函数中的以ret结尾的短小指令链接起来实现攻击目的。

栈返回地址保护、地址空间布局随机化（Address Space Layout Randomization,ASLR）等防御机制在一定程度上增强了操作系统的安全。

因此如何绕过这些防御机制来实施ROP攻击以及如何对ROP攻击做出检测受到了研究者的广泛关注。

在本文中，对ROP攻击机理以及检测方法做了研究。

针对在实施ROP攻击时怎样绕过地址空间布局随机化以及栈不可执行这一问题，提出了一种绕过ASLR的ROP攻击；同时针对栈返回地址保护机制实施了函数指针ROP攻击。

通过对函数指针ROP攻击的分析，提出了fpdetect检测方案，提高了函数指针ROP攻击的准确率。

本文主的主要研究工作如下：（1）针对如何绕过ASLR保护的问题展开研究。

本文通过返回到_dl_runtime_resolve函数动态获取动态链接库函数地址实施绕过ASLR的ROP攻击。

（2）本文通过缓冲区溢出漏洞修改函数指针实施ROP攻击，绕过栈返回地址保护，成功实施了ROP攻击。

（3）提高了函数指针ROP攻击检测的准确率。

本文通过分析调用动态链接库函数的特点，将静态分析与动态检测技术相结合，提出fpdetect检测方案。

实验验证了所提检测方案的有效性。

关键词ROP攻击地址空间布局随机化操作系统检测函数指针IAbstractWith the rapid development of computer and network,people pay more and more attention to the security of computer.Return-oriented-programming(ROP)attack is a typical way of attacking computers by linking short instructions ending in RET in dynamic library functions.Defense mechanisms such as stack return address protection and address randomization(ASLR)enhance the security of the operating system to some extent.Therefore, how to circumvent these defense mechanisms to implement ROP attacks and how to detect ROP attacks have attracted extensive attention of researchers.In this paper,ROP attack mechanism and detection methods are studied.To solve the problem of how to bypass address randomization and stack non-execution when implementing ROP attack,a ROP attack bypassing ASLR is proposed,and a function pointer ROP attack is implemented for stack return address protection mechanism.Through the analysis of function pointer ROP attack,a fedetect detection scheme is proposed,which improves the accuracy of function pointer ROP attack.The main research work of this paper is as follows:(1)How to bypass ASLR protection is studied.In this paper,a ROP attack bypassing ASLR is implemented by returning to the_dl_runtime_resolve function to dynamically obtain the address of DLL function.(2)In this paper,we implement ROP attacks by modifying function pointer through buffer overflow vulnerability,bypassing stack return address protection,and successfully implement ROP attacks.(3)Improve the accuracy of ROP attack detection with function pointer.In this paper,by analyzing the characteristics of calling dynamic link library functions,combining static analysis with dynamic detection technology,a detection scheme of fpdetect is proposed. Experiments verify the effectiveness of the proposed detection scheme.Key words ROP Attack Address Randomization Operating System Detection Function PointerII目录第一章绪论 (1)1.1研究背景 (1)1.2研究现状与分析 (2)1.3研究内容 (4)1.4本文的结构 (4)第二章研究基础与相关知识 (6)2.1图灵完备性 (6)2.2return-into-libc攻击原理 (7)2.3ROP攻击的形成机理 (8)2.3.1ROP gadget的组成 (9)2.3.2ROP原理解析 (11)2.4函数信息提取相关知识 (12)2.4.1PE文件 (12)2.5本章小结 (18)第三章ROP攻击的实施 (19)3.1绕过ASLR的ROP技术 (19)3.1.1GOT表和PLT表 (19)3.1.2重定位的工作机制 (23)3.1.3绕过ASLR的ROP攻击实现 (24)3.2函数指针ROP攻击 (26)3.2.1加载常数到寄存器 (26)3.2.2栈空间布局分析 (28)3.2.3函数指针注入攻击实现 (30)3.2.4函数指针ROP攻击实现 (31)3.3本章小结 (34)第四章ROP攻击检测 (35)4.1现有ROP攻击检测方法 (35)4.2fpdetect基本检测思想 (36)4.3函数指针ROP攻击检测 (38)4.4本章小结 (39)第五章总结与展望 (41)5.1总结 (41)5.2展望 (41)参考文献 (43)致谢 (48)攻读学位期间取得的研究成果 (49)第一章绪论1.1研究背景在这个信息全球化的时代，各种生产应用都趋于软件化、智能化，在计算机技术加快世界智能化步伐过程中，计算机软件系统潜在的缺陷和漏洞给我们的信息安全带来巨大的威胁。

针对二进制代码的恶意软件检测与防御研究恶意软件是一种能够对被感染的主机造成伤害的计算机程序，其类型多种多样，常见的有病毒、蠕虫、木马、广告软件等。

随着技术的不断进步，恶意软件的攻击方式也日益多样化，常见的攻击方式包括数据窃取、勒索、垃圾邮件、网络攻击等。

其中，二进制代码是所有恶意软件的核心。

本文就针对二进制代码的恶意软件检测与防御研究展开探讨。

一、检测原理为了能够有效地检测恶意软件，需要理解其检测原理。

通常，恶意软件种类繁多，没有一种通用的检测算法。

因此，目前主要采用的是基于病毒特征库的检测方法和行为分析法。

病毒特征库检测方法是目前应用最广的恶意软件检测技术。

这种方法通过建立病毒特征库来检测是否存在病毒，并对已知病毒进行识别和分析。

病毒特征库通常包含了多种病毒的指纹特征，通过扫描主机中的文件，将已知的病毒特征与扫描到的文件进行比对，如果有匹配的结果，就可以判定为恶意文件。

然而，这种方法的缺点是需要不断维护和更新病毒特征库，而新型病毒的不断出现，使得这种方法的应用受到限制。

行为分析法主要是通过对可执行文件行为的监控，来判定是否存在恶意行为。

这种方法不依赖已知病毒的特征库，而是通过对文件的行为进行监控，来判定其是否存在恶意行为。

该方法的优点在于能够检测未知病毒，而缺点则在于存在误报率的风险。

二、防御技术随着恶意软件的威胁日益增加，防御技术也得到了不断的升级完善。

以下是目前主要采用的几种防御技术：1.防火墙防火墙可以控制网络通信，将不安全的网络流量阻挡在网络之外，从而提高网络的安全性。

防火墙通过设置网络规则和流量过滤规则，来控制网络访问并防止恶意流量的攻击。

2.反病毒软件反病毒软件是常用的一种防御恶意软件的软件，它可以扫描主机中的所有文件，以查找与已知病毒相符的特征。

反病毒软件通常都拥有强大而成熟的病毒特征库，能够快速识别并隔离病毒程序，有效地保护计算机的安全。

3.加密技术加密技术是一种对数据进行保护的技术，可有效地防止数据被黑客攻击或恶意软件感染。

信息安全攻防博弈研究孟祥宏【摘要】信息安全中攻防对抗的本质可以抽象为攻防双方的策略依存性,防御者所采取的防御策略是否有效,不应该只取决于其自身的行为,还应取决于攻击者和防御系统的策略.通过对信息安全攻防不对称性、不完全信息、合理性、重复博弈等特点的分析,以及博弈模型要素和一般模型的分析,构建了信息安全的攻防模型,并对其博弈过程进行了详尽地研究与分析.最后,建议应从攻防博弈的视角来研究信息安全问题,为信息安全问题的解决提供一种新的思路.【期刊名称】《计算机技术与发展》【年(卷),期】2010(020)004【总页数】5页(P159-162,166)【关键词】信息安全;博弈;攻击;防御【作者】孟祥宏【作者单位】呼伦贝尔学院计算机科学与技术学院,内蒙古,海拉尔,021008【正文语种】中文【中图分类】TP3930 引言信息安全问题的发生原因,一类是人的过失性,这与人总会有疏漏犯错误有关;另一类是人因某种意图,有计划地采取各种行动,破坏一些信息和信息系统的运行程序,以达到某种破坏目的,这种事件称为信息攻击。

受到攻击的一方当然不会束手待毙,总会采取各种可能反抗这一行为(包括预防、应急措施),力图使对方攻击难以凑效(或弱化至最小),以减小己方的损失,以至惩处(或反攻)对方等,这种双方对立行动事件称为信息攻防对抗[1]。

信息安全中攻防对抗的本质可以抽象为攻防双方的策略依存性,防御者所采取的防御策略是否有效,不应该只取决于其自身的行为,还应取决于攻击者和防御系统的策略。

所以可以利用博弈论来研究攻防矛盾及其最优防御决策等信息安全攻防对抗难题[2]。

Samuel N Hamilton指出,博弈论将在网络攻防对抗领域发挥重要作用,是未来信息安全很有前途的研究方向[3]。

文中运用博弈论对信息安全攻防的博弈模型以及攻防过程进行了研究与分析。

1 相关研究博弈论是在具有相互对抗和反应特征的社会经济环境中最有效的决策理论和经济分析工具,是研究各个理性决策主体在其行为发生直接相互作用时的决策,以及这种决策的均衡问题的一种方法论。

基于二进制的RFID防碰撞算法研究与改进摘要：标签防碰撞技术是射频识别（ rfid）系统中提高标签识别效率的关键技术。

在对基本二进制搜索算法（bs）的基础上，提出一种结合动态二进制搜索算法（dbs）和后退式二进制搜索算法（bbs）优点的改进算法，并对改进算法进一步优化。

仿真结果表明，该算法能减少阅读器问询标签的数据量，有效地提高了标签识别的速度。

关键词：rfid；防碰撞；二进制搜索中图分类号：tp311 文献标识码：a 文章编号：1009-3044（2013）09-2209-02无线射频识别rfid是一种非接触式自动识别技术。

因其具有识别速度快、距离远，抗干扰能力强等优点，被广泛应用于物品管理、物流等领域。

rfid系统主要由标签、阅读器及计算机系统三部分组成。

每个标签拥有唯一的序列号id。

rfid 系统中多个标签可能会处于同一阅读器识别范围内，当多个标签同时响应阅读器时会产生信号干扰，致使阅读器无法正确识别标签，也即发生了标签碰撞。

碰撞导致了标签被漏读，因此必须采用防碰撞策略来避免碰撞发生，识别全部标签。

1 基于二进制rfid防碰撞算法二进制防碰撞算法是将碰撞的标签分成左右两个子集，先查询左子集0，若没有碰撞，则正确识别标签，如若仍有碰撞就再继续进行分裂，分成00和01两个子集，依次类推，直到识别出左子集0中的全部标签，再按此步骤查询右子集1。

1.1 二进制树搜索（bs）算法在bs算法中，阅读器查询的不是一个比特，而是一个比特前缀，只有标签与这个查询前缀相符的标签才能响应阅读器的命令。

当只有一个标签响应的时候，阅读器可以成功识别标签，但有多个标签响应的时，发生碰撞。

为了最简捷地实现二进制搜索算法，数据编码选用machenster编码，依据其编码特点可以检测出碰撞位。

要从大量的标签中识别出唯一的标签，需要重复搜索操作。

其识别的平均操作次数由阅读器范围内的标签总数n决定[1]：利用bs算法可以较简单地解决碰撞问题，但随着标签数量的增多，重复操作的平均值很快增加。

二进制部署的方式及其相关技术
本文将深入探讨二进制部署的方式及其相关技术，旨在使读者深入了解二进制部署的原理、方法和最佳实践。

通过本文的阅读，您将了解二进制部署的优点和挑战，学习如何分析问题并选择最适合的解决方案。

一、二进制部署简介
二进制部署是一种将程序转换为二进制格式进行部署的方法。

相较于源代码部署，二进制部署具有更高的安全性和保密性，因为二进制文件中不包含源代码信息。

同时，二进制部署也能减少部署复杂度，提高部署效率。

在某些特定场景中，例如军事、金融等高度敏感领域，二进制部署被广泛采用。

二、二进制部署方式及技术分析
1.加密/解密技术。

金盾信安杯的题目类型
1. 攻防对抗，这是金盾信安杯的主要题型之一。

参赛队伍需要
在一个模拟的网络环境中进行攻击和防御，既要保护自己的系统免
受攻击，又要尝试攻破其他参赛队伍的系统。

这种题型旨在测试参
赛队伍的网络安全技术和应对能力。

2. 逆向工程，逆向工程是金盾信安杯中常见的题目类型之一。

参赛队伍需要对给定的二进制程序进行逆向分析，理解程序的工作
原理并找出其中的漏洞或隐藏功能。

这种题型考察参赛队伍的逆向
分析能力和漏洞挖掘技巧。

3. 密码学，密码学是网络安全的重要领域，金盾信安杯中也会
涉及与密码学相关的题目。

参赛队伍可能需要解密密码算法、分析
加密协议或者设计安全的密码方案。

这种题型考察参赛队伍的密码
学知识和解决实际问题的能力。

4. Web安全，Web安全是金盾信安杯的另一个重要题型。

参赛
队伍需要对给定的Web应用进行漏洞扫描、渗透测试或者安全加固。

这种题型考察参赛队伍在Web安全方面的知识和技能。

5. 移动安全，随着移动设备的普及，移动安全也成为了一个重要的领域。

金盾信安杯中可能会涉及与移动安全相关的题目，如移动应用的漏洞挖掘、恶意代码分析等。

这种题型考察参赛队伍在移动安全领域的专业知识和实践能力。

总的来说，金盾信安杯的题目类型非常丰富，涵盖了网络安全的多个方面。

参赛队伍需要具备广泛的知识和技能，包括但不限于攻防对抗、逆向工程、密码学、Web安全和移动安全等。

这些题目旨在考察参赛队伍的综合能力和解决实际问题的能力。

二进制搜索算法在网络安全领域的应用案例随着互联网的发展，网络安全问题日益突出，攻击者利用各种手段对系统进行入侵和攻击，给用户的信息安全带来了严重威胁。

在这种背景下，二进制搜索算法作为一种高效的搜索算法，被广泛应用于网络安全领域，以提高系统的安全性和防御能力。

一、二进制搜索算法的基本原理二进制搜索算法，也称为折半搜索算法，是一种在有序数组中进行查找的算法。

它的基本原理是将数组分成两半，然后判断目标值与中间值的大小关系，进而确定目标值在哪一半中，然后再对目标值所在的那一半进行二分查找。

通过不断缩小查找范围，最终找到目标值或者确定目标值不存在于数组中。

二、1. 密码破解在网络安全中，密码破解是攻击者最常用的手段之一。

通过对密码进行逐个尝试，攻击者可以获取用户的敏感信息。

而二进制搜索算法可以在较短的时间内找到正确的密码，从而提高系统的安全性。

通过将密码空间进行二分，不断缩小尝试范围，可以大大减少密码破解的时间和尝试次数。

2. 恶意代码检测恶意代码是网络安全中的一大威胁，它可以通过各种手段对系统进行入侵和破坏。

而二进制搜索算法可以帮助系统检测和定位恶意代码。

通过对系统文件和进程进行二分查找，可以快速发现异常和可疑的行为，从而及时采取措施进行防御和清除。

3. 漏洞扫描漏洞是系统安全的一个薄弱环节，攻击者可以通过利用系统的漏洞进行入侵和攻击。

而二进制搜索算法可以帮助系统进行漏洞扫描，及时发现和修补系统中的漏洞。

通过对系统代码和配置文件进行二分查找，可以快速定位漏洞的位置和类型，从而提高系统的安全性和防御能力。

4. 数据包过滤数据包过滤是网络安全中的一个重要环节，它可以根据一定的规则对网络数据进行筛选和过滤。

而二进制搜索算法可以帮助系统进行数据包过滤，提高系统对恶意数据包的识别和过滤能力。

通过对数据包的特征进行二分查找，可以快速判断数据包的类型和安全性，从而保护系统免受攻击和入侵。

三、总结二进制搜索算法作为一种高效的搜索算法，在网络安全领域有着广泛的应用。