[发明专利]一种程序内存布局信息泄露行为的检测方法

说明书

本发明公开了一种程序内存布局信息泄露行为的检测方法，其特征在于，包括如下步骤：步骤一：获取目标程序及其动态链接库；步骤二：识别与提取目标程序的安全敏感区域；步骤三：确定目标程序安全敏感区域运行时的地址；步骤四：动态管理安全敏感区域；步骤五：程序运行时，监控输出操作，检测内存信息是否泄漏。本发明提供了一种基于程序输出操作模式的检测方法，从而阻止和避免内存布局信息的泄露，降低了攻击者成功实施代码复用攻击的风险。

技术领域

本发明涉及一种程序运行过程中内存布局信息泄露行为的识别和检测方法，具体涉及一种基于程序的输出操作来识别和检测内存信息泄露行为的方法。本发明属于计算机安全保护领域。

背景技术

代码复用攻击不需要注入攻击代码，因而具有较强的隐蔽性和危害性。程序的内存布局信息是发动代码复用攻击的基础信息之一。内存布局信息泄露有助于攻击者对系统的完成攻击，因此防止内存信息泄露是保护程序安全的一种有效措施。随着细粒度地址空间布局随机化技术的运用，攻击者找到构造攻击所需的代码片段变得较为困难，而通过程序中存在的内存暴露漏洞来获取内存布局信息，使得攻击者能轻易定位所需的代码片段，因此可大幅提高攻击者攻击成功的概率。为此，需要有效地识别程序在运行过程中发生的内存布局信息泄露行为，从而采取有效处理措施阻止和避免攻击者获取足够的信息、发动进一步的攻击行动。

程序的输出操作，可能产生内存布局信息泄露，是攻击者可能实施代码复用攻击常用手段。目前，已有一些对于内存布局信息泄露行为的检测方法。但是，对于频繁输入输出的程序行为，现有检测方法会产生大量的误报，从而对系统性能会有较大的损失。

发明内容

为解决现有技术的不足，本发明的目的在于提供一种程序内存布局信息泄露行为的检测方法，从而阻止和避免内存布局信息的泄露，降低了攻击者成功实施代码复用攻击的风险。

为了实现上述目标，本发明采用如下的技术方案：

一种程序内存布局信息泄露行为的检测方法，其特征在于，包括如下步骤：

步骤一：获取目标程序及其动态链接库；

步骤二：识别与提取目标程序的安全敏感区域，所述安全敏感区域被定义为代码和能被用来推测代码布局的数据；

步骤三：确定目标程序安全敏感区域运行时的地址；

步骤四：动态管理安全敏感区域；

步骤五：程序运行时，监控输出操作，检测内存信息是否泄漏；

步骤一包括：找到受保护程序及其动态链接的共享库，并将它们的二进制文件所处的完整路径加入目标路径集合protectSet，所述protectSet集合用于存放受保护程序及其动态链接库对应的二进制文件在计算机中所处的完整路径，根据完整路径找到待分析的二进制文件；

步骤二包括：对目标路径集合protectSet包含的每个完整路径对应的二进制文件，通过分析其段表和节表得到安全敏感区域的大小和安全敏感区域相对于对应段加载位置的偏移量，将结果存放到auxiliaryInfo文件中，所述auxiliaryInfo文件用于存放protectSet集合中每个路径所对应二进制文件的安全敏感区域的大小以及安全敏感区域相对于对应段加载位置的偏移量，一条记录对应一个安全敏感区域，用于在程序加载完成后确认安全敏感区域的开始地址以及结束地址；

步骤三包括：在程序装载完成后，程序自身和装载时链接的共享库最终位置已经确定，根据anxiliaryInfo中的信息，确定相应安全敏感区域在进程地址空间中的起始地址和终止位置，将其加入到boundInfo，所述boundInfo用于存放每一个安全敏感区域在进程地址空间中的开始地址以及结束地址，用于在运行时确认程序是否访问了安全敏感区域；

步骤四包括：在程序运行过程中，对安全敏感区域进行动态管理，以更新boundInfo中的边界信息；