[发明专利]一种XP中地址空间布局随机化方法及装置

说明书

一种XP中地址空间布局随机化方法及装置，属于计算机安全技术领域。启动主机，利用驱动安装模块，安装驱动文件，启动服务，进行系统监测；启动HOOK系统的API:NtMapViewOfSection(系统API，作用是映射程序模块到物理空间)；监测步骤，如发现系统调用NtMapViewOfSection(系统API，作用是映射程序模块到物理空间)函数，加载文件至内存；根据加载的信息进行文件判断；尝试将文件加载到新生成的随机地址中，如失败，判断失败次数是否小于规定循环次数；返回，提示成功加载文件；将步骤S3加载的内存空间进行释放，确保系统中有且仅有一个地址是正确的文件加载地址，返回，提示文件加载成功；卸载服务。

技术领域

本发明涉及一种XP中地址空间布局随机化方法及装置，属于计算机安全技术领域。

背景技术

随着时代的发展，计算机已经成为人们日常生活中必不可少的电子产品。但是近年来针对计算机漏洞的攻击和机密信息的窃取事件频频发生，人们不得不格外的关注和考虑计算机的安全问题。在诸多的计算机安全问题中，缓冲区溢出无疑是危害最大，被利用最广泛的问题之一。利用缓冲区溢出攻击，可以导致程序运行失败、系统宕机、重新启动等后果。更为严重的是，可以利用它执行非授权指令，甚至可以取得系统特权，进而进行各种非法操作。

缓冲区溢出攻击的原理是通过向程序的缓冲区写超出其长度的内容，造成缓冲区的溢出，从而破坏程序的堆栈，造成程序崩溃或使程序转而执行其它指令，以达到攻击的目的。针对缓冲区溢出漏洞，目前使用最多且有效的方法就是DEP(数据执行保护)方法与ASLR(地址空间布局随机化)方法的结合使用，使得缓冲区数据不可写，并且使DLL加载的地址随机化，让攻击者无法找到具体的执行地址，从而无法利用漏洞。目前此种方法已经被微软实现在了vista及其以上的版本的操作系统中。但是对于在中国用户量最大的Window XP操作系统，微软只提供了DEP保护功能，而并未实现ASLR的保护机制。

在2014年4月8日24时之后，微软正式停止了Windows XP系统的技术支持。广大企业用户虽然可以继续使用，但是其XP电脑将面临更多安全风险。数据显示，国内XP电脑市场份额接近70％，来自CNNIC的调查显示，57％的中国XP用户抱着“能拖就拖”的心态，会继续使用XP系统。另据统计，在这2亿用户中，有大量的企业和政府客户，电脑的安全，将直接影响到企业业务的正常运转，以及部分政府部门的工作流程。同时这意味着，Windows XP系统下的ASLR保护机制，将永远无法由微软自己实现。

现在国内市场并无公开的XP环境下ASLR实现方法和商业化软件，但是对于XP的缓冲区溢出攻击却是频频发生，所以XP环境下实现ASLR保护机制，就显得尤为重要。

发明内容

为了克服现有技术的不足,本发明提供一种XP中地址空间布局随机化方法及装置，具体涉及通过Hook系统API的方式对载入系统的动态链接库进行基址修改，实现基址随机化的方法和装置，通过利用HOOK技术对系统驱动层内存映射函数的处理，达到DLL模块加载的基地址随机化的目的,可以实现XP系统下的缓冲区溢出攻击的防御，保护Windows XP用户的利益。

一种XP中地址空间布局随机化方法，在不破坏系统的内存映射机制的前提下，将动态链接库加载到随机的并且合法的地址中，使得动态链接库加载的基地址不被攻击者提前得到，因此能很好防御缓冲区溢出攻击。

含有以下步骤：

步骤S1:启动主机，利用驱动安装模块，安装驱动文件，启动服务，进行系统监测。

步骤S2:HOOK系统的API:NtMapViewOfSection(系统API，作用是映射程序模块到物理空间)(系统API，作用是映射程序模块到物理空间)。

步骤S3：监测系统，如发现系统调用NtMapViewOfSection(系统API，作用是映射程序模块到物理空间)函数，加载文件至内存。