[发明专利]一种针对ROP攻击的检测方法有效
| 申请号: | 201610740846.8 | 申请日: | 2016-08-26 |
| 公开(公告)号: | CN106326747B | 公开(公告)日: | 2018-11-27 |
| 发明(设计)人: | 李伟明;孔华锋;贺玄 | 申请(专利权)人: | 华中科技大学;公安部第三研究所 |
| 主分类号: | G06F21/56 | 分类号: | G06F21/56 |
| 代理公司: | 武汉东喻专利代理事务所(普通合伙) 42224 | 代理人: | 李佑宏 |
| 地址: | 430074 湖北*** | 国省代码: | 湖北;42 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明公开了一种针对ROP攻击的检测方法。该检测方法包括获得动态链接库的新基址=动态链接库的原基址+偏移量,所述偏移量为分配粒度的随机非零整数倍,且所述偏移量的绝对值大于动态链接库的长度;修改动态链接库的基址字段,令所述基址字段指向所述动态链接库的新基址;在动态链接库中增加代码段,所述代码段用于在动态链接库的原基址对应的加载位置填充警告指令;所述代码段的尾部具有跳转指令,所述跳转指令的跳转距离为跳转指令与入口函数的相对距离;将动态链接库的入口地址设置为所述代码段的地址。本发明可以应用于所有Windows系统,不会对系统造成额外负担,能够检测除JIT‑ROP以外的所有ROP攻击。 | ||
| 搜索关键词: | 动态链接库 基址 代码段 跳转指令 偏移量 检测 字段 攻击 额外负担 加载位置 入口地址 入口函数 填充 跳转 指向 指令 警告 分配 应用 | ||
【主权项】:
1.一种针对ROP攻击的检测方法,其特征在于,包括:修改动态链接库的基址字段,令所述基址字段指向的基址由动态链接库的初始基址改变为动态链接库的新基址,其中,动态链接库的新基址=偏移量+动态链接库的初始基址,所述偏移量为分配粒度的随机非零整数倍,且所述偏移量的绝对值大于动态链接库的长度;在动态链接库中增加代码段,所述代码段用于在动态链接库的初始基址对应的加载位置填充警告指令;所述代码段的尾部具有跳转指令,所述跳转指令的跳转距离为跳转指令与动态链接库的原入口函数的相对距离;将动态链接库的入口地址由原入口函数的起始地址修改为所述代码段的起始地址。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于华中科技大学;公安部第三研究所,未经华中科技大学;公安部第三研究所许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201610740846.8/,转载请声明来源钻瓜专利网。
- 上一篇:信息处理的方法及移动终端
- 下一篇:一次性高速涡轮牙钻手机零回吸装置
