[发明专利]Linux平台二进制软件堆溢漏洞动态检测方法及系统

权利要求书

1.一种Linux平台二进制软件堆溢漏洞动态检测系统，其特征在于，所述系统包括：二进制程序仿真加载模块、API函数挂钩模块、基于动态二进制翻译的二进制程序仿真执行模块、堆管理机制运行时托管模块、基于自定制机器码的异常报警模块，其中，二进制程序仿真加载模块根据目标程序对应的可执行文件格式，将其代码段、数据段内容载入到仿真执行环境中；API函数挂钩模块对载入到仿真执行环境中的二进制程序进行API挂钩，形成目标程序的仿真执行映像；基于动态二进制翻译的二进制程序仿真执行模块对所形成的仿真执行映像进行仿真执行；仿真执行期间目标程序发生malloc、realloc堆申请操作时，堆管理机制运行时托管模块将堆申请托管，返回给应用程序“边界精确”的内存区块；目标程序在执行中对申请得到的“边界精确”的内存区块进行读写访问时发生溢出时，基于自定制机器码的异常报警模块捕获溢出事件并通告用户该程序存在堆溢出漏洞。

2.根据权利要求1所述的Linux平台二进制软件堆溢漏洞动态检测系统，其特征在于，所述目标程序对应的可执行文件格式包括Windows平台下的PE文件格式，Linux平台下的ELF文件格式。

3.根据权利要求2所述的Linux平台二进制软件堆溢漏洞动态检测系统，其特征在于，所述二进制程序仿真加载模块基于ELF可执行文件格式对目标程序进行内容解析，确定出其代码部分、数据部分内容的内存映射信息，并映射到基于动态二进制翻译的二进制程序仿真执行模块的内存空间，调用目标环境内适配的动态链接器对该可执行文件里的外部导入项目进行动态重定位。

4.根据权利要求3所述的Linux平台二进制软件堆溢漏洞动态检测系统，其特征在于，所述基于动态二进制翻译的二进制程序仿真执行模块将客户体系结构的指令转换为主机平台下对应的机器指令，通过执行翻译得到的宿主机二进制代码对目标程序进行仿真执行。

5.根据权利要求1所述的Linux平台二进制软件堆溢漏洞动态检测系统，其特征在于，所述堆管理机制运行时托管模块将堆申请托管，旨在进行“边界精确”的内存申请，仅允许目标程序读写分配给它的内存区域，所有对其邻近区域的内存段发生的内存访问为非法报警。

6.一种Linux平台二进制软件堆溢漏洞动态检测方法，其特征在于，所述方法包括：

S1，根据目标程序对应的可执行文件格式，将代码段、数据段内容载入到仿真执行环境中；

S2，对载入到仿真执行环境中的二进制程序进行API挂钩，形成目标程序的仿真执行映像；

S3，对所形成的仿真执行映像进行仿真执行；

S4，仿真执行期间，如果目标程序发生malloc、realloc堆申请操作，将堆申请托管，返回给应用程序“边界精确”的内存区块；

S5，目标程序对所得到的“边界精确”的内存区块进行读写访问中发生溢出时，由于地址越界将访问到无效的内存页面并触发异常，进而通告用户程序存在堆溢出漏洞。