[发明专利]基于虚函数表劫持的防御方法

摘要

本发明提供一种基于虚函数表劫持的防御方法，可以在二进制可执行文件中决策出潜在的use‑after‑free类型漏洞的利用和进一步攻击。步骤一、使用静态指令分片和提取框架，将一个可执行文件作为输入反汇编并生成控制流图和汇编语言；步骤二、将步骤一得到的汇编语言压缩简化；步骤三、vEXTRACTOR在步骤二得到的中间语言上执行向后的程序切片；步骤四、由前三步提取所有满足虚函数调度的低级的语义，取出虚函数调度部分；步骤五、重写和配备ID；步骤六、将虚函数表的所有引用参数修改为vtables的新地址，VRewriter为每个虚拟功能的调度装备上安全检查来验证目标虚表的完整性；步骤七、将该装配了安全检查的执行代码放入一个新的代码段，保证大部分的原代码部完好无损。

主权项

一种基于虚函数表劫持的防御方法，其特征在于，包括以下步骤：步骤一、使用静态指令分片和提取框架vEXTRACTOR，将一个可执行文件作为输入，保护阶段在虚函数调用前,它的vtable载入指令时，反汇编并生成控制流图和汇编语言；步骤二、将步骤一得到的汇编语言压缩简化，即将反汇编出的语言转换成中间语言，压缩简化复杂指令集为精简指令集的语法，同时保留原有代码的语义和CFG图不改变；步骤三、vEXTRACTOR在步骤二得到的中间语言上执行向后的程序切片，其中所有间接调用指令的地址提取出来并且把它定义为切片的标准，从而决定该间接指令是否是虚函数调用；步骤四、由前三步提取所有满足虚函数调度的低级的语义，取出虚函数调度部分；至此完成对二进制文件的逆向分析，提取出虚函数调度过程中的相关的数据指令；步骤五、重写和配备ID，首先创建一个只读区域，然后根据前四步识别出的虚函数调度语义，将所有虚函数表移入这个区域，装备标识在这个区域的虚函数表；步骤六、将虚函数表的所有引用参数修改为vtables的新地址，VRewriter为每个虚拟功能的调度装备上安全检查来验证目标虚表的完整性，即是否是只读的，并且包含了一个正确的ID；步骤七、将该装配了安全检查的执行代码放入一个新的代码段，保证大部分的原代码部完好无损。