[发明专利]面向可执行文件的off-by-one的漏洞检测方法及系统

说明书

本发明公开了面向可执行文件的off‑by‑one漏洞检测方法及系统，方法包括以下步骤：反编译可执行文件，形成中间语言；对可执行文件进行静态分析，检测指向已分配堆块的指针集和疑似路径信息；对全局变量跟踪分析，找出全局指针指向的内存地址和对内存空间的读写操作；筛选相同分配行为的函数，若引用相同的指针，在指针数据集内合并，去除冗余函数；进行动态符号执行，依据路径选择规则选择可疑分支和路径，有分配行为的函数调用时，记录分配的堆块大小和地址；继续检测分配堆块的操作，对该地址进行读写操作时，记录写入信息的长度，判断漏洞。本发明的方法能有效定位漏洞位置，实现off‑by‑one漏洞的自动化检测全覆盖。

技术领域

本发明涉及一种面向可执行文件的off-by-one漏洞检测方法及系统，属于网络安全技术领域。

背景技术

off-by-one漏洞是信息安全攻防比赛中经常出现的漏洞类型，具有丰富的缓冲区相关灵活利用方式。栈中可以利用该漏洞覆盖ebp的LSB从而修改eip的指向。堆中既可以覆盖堆块size域的inuse位，联合unlink机制，劫持控制流；也可以修改堆块大小，扩大缩小堆块，读写目标内存空间。同时在实际软件和操作系统组件中的利用也屡见不鲜。off-by-one漏洞不同场景的有多样利用方式，正是其多种应用场景和利用方式，off-by-one漏洞的自动化检测难以全面覆盖。

目前，针对漏洞检测问题，学者们提出了多种解决方案。(一)2013年，Bugalyze.com将可执行文件部分反编译成中间语言，通过数据流分析检测是否有指向已释放堆块的指针，有则提示出现UAF，但过程中没有进行别名分析，和路径可达性分析，会造成漏报和误报。(二)GUEB使用专用值分析来跟踪堆操作和地址传输，同时考虑别名问题，然后利用以上结果来静态识别UAF漏洞，最后为UAF提取子图，描述悬空指针的穿件、释放和使用位置，但没有验证实际运行过程中的路径可达性。本发明所关注的off-by-one漏洞虽然是UAF的一种，但是通过对已分配堆块写，从而改变空闲堆块的内容。所以通常情况下UAF的检测不是适用于面向堆利用的off-by-one。(三)2015年中国工程物理研究院与发表在iccc上的一篇论文，提出一种高度自动化的面向可执行文件的off-by-one漏洞评估技术。不断重复输入样本，通过windbg查看崩溃程序中EBP值的格式是否正确、EIP是否被崩溃指令污染，若被破坏则表示漏洞触发且利用程度高，进而生成POC代码。该方法只针对off-by-one与栈相关的利用，且更适用于32位的环境，64位操作系统中，前七个参数优先使用寄存器存储而不是栈存储，使栈相关的off-by-one漏洞触发更加困难。

上述这些传统方法都难以有效定位漏洞位置，解决off-by-one漏洞的自动化检测全面覆盖的问题。

发明内容

为了解决上述问题，本发明提出了一种面向可执行文件的off-by-one漏洞检测方法及系统。能够有效定位漏洞位置，实现off-by-one漏洞的自动化检测全面覆盖。

本发明解决其技术问题采取的技术方案是：

一方面，本发明实施例提供的一种面向可执行文件的off-by-one漏洞检测方法，包括以下步骤：

反编译可执行文件机器码得到汇编语言，将汇编语言划分为六种语义规则形成中间语言；

利用中间语言对可执行文件进行静态分析，检测指向已分配堆块的指针集和疑似路径信息；

对可执行文件的全局变量进行跟踪分析，找出全局指针指向的内存地址和对内存空间的读写操作；

从有分配行为的函数中筛选有相同分配行为的函数，若引用相同的指针，在指针数据集内合并，去除冗余函数；

对可执行文件进行动态符号执行，依据路径选择规则选择可疑分支和路径，当有分配行为的函数调用时，记录分配的堆块大小和地址；