CAJ | 학술논문

针对传统函数指针攻击检测技术无法检测面向返回编程(ROP)攻击的问题,提出了一种基于跳转地址完整性检查的新方法,在二进制代码层面能够检测多种类型的函数指针攻击.首先,通过静态分析得到函数地址信息,然后动态检查跳转目标地址是否位于合法函数区间.分析了非入口点跳转,提出一种动静结合方法检测ROP攻击.基于二进制代码插桩工具实现原型系统fpcheck,对真实攻击和正常程序进行了测试.实验结果表明fpcheck能够检测包括ROP在内的多种函数指针攻击,通过准确的检测策略,误报率显著下降,性能损失相比原始插桩仅升高10％～20％.
침대전통함수지침공격검측기술무법검측면향반회편정(ROP)공격적문제,제출료일충기우도전지지완정성검사적신방법,재이진제대마층면능구검측다충류형적함수지침공격.수선,통과정태분석득도함수지지신식,연후동태검사도전목표지지시부위우합법함수구간.분석료비입구점도전,제출일충동정결합방법검측ROP공격.기우이진제대마삽장공구실현원형계통fpcheck,대진실공격화정상정서진행료측시.실험결과표명fpcheck능구검측포괄ROP재내적다충함수지침공격,통과준학적검측책략,오보솔현저하강,성능손실상비원시삽장부승고10％～20％.