技术详细介绍
基于虚函数表继承关系的代码重利用攻击检测方法
C++语言支持动态绑定,代码中存在大量的由虚函数调用而产生的间接跳转,极易为攻击者所利用,并且代码重用攻击不需要注入攻击代码,具有较好的隐蔽性、和图灵完备的计算能力,给用户计算机系统安全带来极大危害。针对虚函数调用点的控制流进行完整性保护,是检测代码重利用攻击的重要手段之一。然而,目前的代码重利用攻击检测方法在检测过程中存在着应用范围有限、不够准确、时间开销大等缺点,影响着检测方法的适用性。
针对目前代码重利用攻击检测方法在检测过程中存在着通用性差、准确性低、性能开销大的问题,本发明提出一种基于虚函数表继承关系的代码重利用攻击检测方法。本发明通过对可执行文件进行分析,根据其中虚函数表之间的继承关系,对代码中的虚函数调用点进行控制流完整性保护,检测代码重利用攻击,避免采用原有方法依赖源代码获得合法虚函数集合或将所有虚函数视为合法集合的检测策略,具有较高检测精度和速度,提高代码重利用攻击检测的准确性、通用性和效率。