没有合适的资源?快使用搜索试试~ 我知道了~
自動產生攔截控制流程之攻擊程式碼1
需积分: 0 0 下载量 127 浏览量
2022-08-03
12:46:03
上传
评论
收藏 4.91MB PDF 举报
温馨提示
试读
65页
摘要要要誌誌誌謝謝謝List of ListingsList of FiguresList of TablesList of Algorithms....CPU
资源详情
资源评论
资源推荐
國立交通大學
資訊科學與工程研究所
碩 士 論 文
自動產生攔截控制流程之攻擊程式碼
Automated Exploit Generation for Control-Flow
Hijacking Attacks
研 究 生 : 黃博彥
指導教 授 : 黃世昆 教授
中中中 華華華 民民民 國國國 一一一 百百百 年年年 九九九 月月月
自動產生攔截控制流程之攻擊程式碼
Automated Exploit Generation for Control-Flow
Hijacking Attacks
研 究 生 : 黃博彥 Student : Po-Yen Huang
指導教 授 : 黃世昆 Advisor : Shih-Kun Huang
國 立 交 通 大 學
資 訊 科 學 與 工 程 研 究 所
碩 士 論 文
A Thesis
Submitted to Institute of Computer Science and Engineering
College of Computer Science
National Chiao Tung University
in Partial Fulfillment of the Requirements
for the Degree of
Master
in
Computer Science
September 2011
Hsinchu, Taiwan, Republic of China
中華民國一百年九月
自自自動動動產產產生生生攔攔攔截截截控控控制制制流流流程程程之之之攻攻攻擊擊擊程程程式式式碼碼碼
學生 : 黃博彥 指導教授 : 黃世昆 教授
國立交通大學資訊科學與工程研究所碩士班
摘摘摘要要要
由於資訊領域的快速發展與應用,各類安全威脅日趨嚴重,而這些威脅都
根源於軟體的缺陷, 軟體安全性的探討因此成為重要的議題。 這些議題
中,最大的威脅來自於軟體缺陷經常性地被揭露、使得駭客的攻擊事件層
出不窮,其中零 日攻擊(zero-day attacks)更造成系統及經濟上的重大危害。
我們以軟體發展過程的角度分析,瞭解到安全漏洞的修補過程,是一場與
零日攻擊的時間競賽,若能儘早修補漏洞,將可大幅降低其威脅性。為了
快速掌握漏洞,我們運用在軟體測試領域中,已被廣泛研究運用、自動尋
找程式錯誤的方法。然而如何分析眾多的程式錯誤,優先尋找出安全性威
脅的漏洞,仍是一個很困難的研究領域。在此論文中,我們將轉換角色,
以攻擊者的角度來試圖產生攻擊程式碼、並將過程自動化,以此證明程式
中存在安全性漏洞。我們提出基於符號執行的軟體測試方法,實作攻擊程
式產生器,可任意攔截控制流程。此概念已實驗在多個真實的程式,證明
此方法之可行性。
i
Automated Exploit Generation for Control-Flow
Hijacking Attacks
Student : Po-Yen Huang Advisor : Dr. Shih-Kun Huang
Institute of Computer Science and Engineering
National Chiao Tung University
Abstract
Due to the rapid deployment of information technology, the threats on in-
formation assets are getting more serious. These threats are originated from
software vulnerabilities. The vulnerabilities bring about attacks. If attacks
launched before the public exposure of the targeted vulnerability, they are
called zero-day attacks. These attacks usually damage system and economy
seriously. We have analyzed the process of zero-day attacks in the perspec-
tive of software process and recognize that it is a race competition between
attacks and software patch development and deployment. If developers can
fix the vulnerabilities as soon as possible, the threats will be significantly
reduced. In order to faster the vulnerability finding process, we use the soft-
ware testing techniques, focusing on finding bugs automatically. However,
it is still hard to locate security vulnerabilities from a large number of bugs.
In our paper, we switch to the roles of attackers and aim at generating at-
tacks automatically to prove that a bug is a security vulnerability. Based
on symbolic execution, we are able to automatically generate exploit for
control-flow hijacking attacks and perform several experiments with real-
world programs to prove our method is feasible.
ii
誌誌誌謝謝謝
考研究所是臨時的決定,重考更是一意孤行,感謝家人的諒解與支持,尤
其是父母一路上的加油打氣,以及爺爺和奶奶在我每個星期往返學校前的
窩心叮嚀,一直是我求學期間的最大精神支柱,讓我得以開開心心、無憂
無慮的渡過研究生生涯。
再者, 感謝我的指導老師黃世昆教授, 帶領我一起研究與探討軟體安
全這個我以前鮮少接觸的領域,並提供豐富的資源讓我得以從中發揮。除
了對於生活、課業與研究上的時常關心外,並不時肯定我的表現,對於沒
什麼自信的我來說更是莫大的鼓勵。
另外就是研究所這兩年中,每天一起在實驗室相處的各位同學,感謝
佑鈞與世欣作為我的榜樣,帶領我了解研究生的生活。感謝孟緯從一開始
的暑假至今,一起修課、當助教、作研究...等,很高興我們也一起畢業了。
還有翰霖、奕任、俊維、偉明、基傑、韋翔與鈺婷,大家一起相處的每一
天,是我最重要的研究所回憶。
最後, 感謝田筱榮老師、孔崇旭老師與宋定懿老師在百忙之中抽空對
此論文的細心指導與建議,讓其更臻完美。時光飛逝,研究所兩年的時光
一下就過去了, 感謝所有一路上幫助過我的人們, 謹以此論文, 獻給你
們。
iii
剩余64页未读,继续阅读
书看不完了
- 粉丝: 21
- 资源: 364
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功
评论0