[发明专利]一种缓冲区溢出攻击的防护方法、装置及系统

权利要求书

1、一种缓冲区溢出攻击的防护方法，其特征在于，包括：

在Windows内核模式下，将随机化管理驱动加载到内存中；

通过所述随机化管理驱动勾挂Windows内核中与内存分配相关的应用程序接口API函数，并修改所述API函数的参数来随机化所述内存分配的基地址。

2、如权利要求1所述的缓冲区溢出攻击的防护方法，其特征在于，所述在Windows内核模式下，将随机化管理驱动加载到内存中包括：

在Windows系统启动内核ntokrnl.exe之后，启动lsass.exe和csrss.exe之前，将随机化管理驱动boot-driver加载到内存中。

3、如权利要求1所述的缓冲区溢出攻击的防护方法，其特征在于，所述API函数包括：

DLL内存映射函数、栈内存分配函数、堆内存分配函数、进程创建函数、线程创建函数中至少一种。

4、如权利要求3所述的缓冲区溢出攻击的防护方法，其特征在于，

所述DLL内存映射函数为NtMapViewOfSection；

所述修改所述API函数的参数来随机化所述内存分配的基地址至少包括：

修改由DLL的Session指针找到的装载基地址来随机化所述DLL的内存分配的基地址，或，

修改NtMapViewOfSection函数的基地址参数BaseAddress的值来随机化所述DLL的内存分配基地址。

5、如权利要求3所述的缓冲区溢出攻击的防护方法，其特征在于，

所述栈内存分配函数为NtAllocateVirturlMemory；

所述修改所述API函数的参数来随机化所述内存分配的基地址至少包括：

将NtAllocateVirturlMemory函数的ZeroBits参数的值设置为0；

为NtAllocateVirturlMemory函数的AllocationType参数添加或选择MEM_TOP_DOWN特性；

修改指向MM_HIGHEST_VAD_ADDRESS的局部指针。

6、如权利要求3所述的缓冲区溢出攻击的防护方法，其特征在于，

所述堆内存分配函数为RtlCreateHeap；

所述修改所述API函数的参数来随机化所述内存分配的基地址至少包括：

修改所述RtlCreateHeap函数的HeapBase的值来随机化所述堆的内存分配基地址。

7、如权利要求3所述的缓冲区溢出攻击的防护方法，其特征在于，

所述进程创建函数为MiCreatePebOrTeb；

所述修改所述API函数的参数来随机化所述内存分配的基地址至少包括：

生成指向随机值的指针；

确定当前系统ntoskrnl.exe的地址空间；

搜索ntoskrnl.exe中未导出函数MiCreatePebOrTeb的地址空间；

搜索MiCreatePebOrTeb函数的地址空间中所有指向MmHighestUserAddress指针的指针；

修改所述指向MmHighestUserAddress指针的指针，使指针指向一个有效值的随机指针。

8、如权利要求3所述的缓冲区溢出攻击的防护方法，其特征在于，

所述线程创建函数为MmCreatePeb；

所述修改所述API函数的参数来随机化所述内存分配的基地址至少包括：

生成指向随机值的指针；

确定当前系统ntoskrnl.exe的地址空间；

搜索ntoskrnl.exe中未导出函数MmCreatePeb的地址空间；

搜索MmCreatePeb函数的地址空间中所有指向MmHighestUserAddress指针的指针；

修改所述指向MmHighestUserAddress指针的指针，使指针指向一个有效值的随机指针。