[发明专利]一种地址处理方法和装置

说明书

技术领域

本发明涉及计算机网络技术领域，尤其涉及计算机网络系统中的防止缓冲 区溢出攻击的地址处理方法和装置。

背景技术

目前，基于缓冲区溢出的攻击已经成为网络攻击中最常见也是最具威胁的 攻击方式，许多危害很大的攻击事件均属于该方式。

缓冲区溢出是指，计算机程序在缓冲区输入的数据位数超过了缓冲区的边 界而造成的溢出。溢出的数据可能覆盖缓冲区相邻内存中的合法数据，破坏软 件的数据完整性，溢出的数据也可能覆盖函数指针或堆栈中的函数返回地址， 破坏程序的执行流程，使得程序执行一些非安全代码，从而出现了缓冲区溢出 漏洞。攻击者发现溢出漏洞后，利用程序在缓冲区输入超过其边界长度的代码， 造成溢出，使溢出的数据覆盖返回地址后，在返回地址处写上可以改变程序流 程的地址(即跳转地址)，使该地址指向自己的恶意程序，从而达到攻击、破 坏系统的目的。

为了防止基于缓冲区溢出的攻击，现有技术是通过与API函数联系，检查 堆栈的返回地址，根据返回地址的位置和属性来判断是否发生缓冲区溢出，并 在发现缓冲区溢出后，将引起该溢出的线程或进程结束。

发明人在实现本发明的过程中，发现现有技术中至少存在如下问题：

API函数的返回地址被恶意代码修改，即攻击者可以寻找返回指令代码， 修改上述API函数的返回地址使其指向该返回指令，通过该返回指令跳转重新 回到栈中执行，从而绕过现有技术的防护，达到攻击破坏系统的目的。此外， 返回地址的属性可以被恶意代码修改，例如攻击者可以将该返回地址的属性修 改为不可写，从而绕过现有技术对溢出的防护，达到攻击、破坏系统的目的。

发明内容

本发明的实施例提供了一种地址处理方法和装置，不但可以防止缓冲区溢 出攻击，而且还可以对绕过现有技术的攻击进行有效防护。

一种地址处理方法，包括：

对内存中能够被缓冲区溢出攻击利用的基地址进行随机化处理，得到所述 随机化处理后的基地址值，并修改用于加载所述基地址的参数，使该修改后的 参数指向所述随机化处理后的基地址值。

一种地址处理装置，包括：

随机化处理单元，用于对内存中能够被缓冲区溢出攻击利用的基地址进行 随机化处理，得到所述随机化处理后的基地址值；

修改参数单元，用于修改用于加载所述基地址的参数，使该修改后的参数 指向所述随机化处理后的基地址值。

由上述本发明的实施例提供的技术方案可以看出，本发明实施例通过对内 存中能够被缓冲区溢出攻击利用的基地址例如线程环境块TEB(Thread Environment Block)的基地址，或堆的基地址，或动态链接库DLL(Dynamic Link Library)的基地址进行随机化处理，使加载的随机化处理后的基地址不同 于按照系统默认方式或其它通用方式分配的基地址，也就使上述基地址中的固 定跳转地址发生改变(包括改变了恶意代码需要利用的跳转地址)，实现了基 地址的随机化；从而使溢出攻击代码中用来执行恶意代码的跳转地址不能指到 攻击者本来设想的内存空间去，使溢出攻击失败，实现了有效防止溢出攻击的 目的。

附图说明

图1为本发明实施例提供的方法处理流程示意图；

图2为本发明实施例提供的对TEB进行基地址随机化处理的方法流程示意 图；

图3是本发明实施例提供的对堆进行随机化处理的方法流程示意图；

图4是本发明实施例提供的对DLL进行基地址随机化处理的方法流程示意 图；

图5是本发明实施例提供的随机化处理TEB基地址的地址处理装置结构示 意图；

图6是本发明实施例提供的随机化处理堆基地址的地址处理装置结构示意 图；

图7是本发明实施例提供的随机化处理DLL基地址的地址处理装置结构示 意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清 楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是 全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造 性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。