【技术实现步骤摘要】
本专利技术属于后门检测,尤其涉及一种格式化字符串分支篡改后门检测方法与系统。
技术介绍
1、软件后门指绕过软件的安全性控制,从比较隐秘的通道取得系统控制权的方法。格式化字符串分支篡改后门是一种软件开发者在软件的开发阶段预留在软件系统内的软件后门。利用开发者预留在软件系统内的格式化字符串漏洞,攻击者通过对能够影响某些程序分支的全局数据变量的内容进行恶意篡改,使原本一定无法执行的程序分支得以成功执行,进而触发被该程序分支保护的后门,由此取得系统控制权。
2、以下给出格式化字符串分支篡改后门的示例:
3、
4、可见该程序第7行存在一个系统后门,能够使攻击者在目标系统上执行任意命令。该后门是由第6行的if常数比较分支保护,然而该分支谓词i==0x8888在一般情况下无法满足,因为全局i变量在整个程序内只有一处被赋值操作(即初始化操作),该操作将i变量赋值为0。然而,由于第5行存在一个格式化字符串漏洞,攻击者可以利用该漏洞对全局变量i的内容进行覆写,将其篡改为0x8888,进而保证随后第6行的分支条件得到满足,...
【技术保护点】
1.一种格式化字符串分支篡改后门检测方法,其特征在于,在给定目标二进制程序和种子测试用例的情况下,所述方法包括:
2.根据权利要求1所述的一种格式化字符串分支篡改后门检测方法,其特征在于,调用全局变量-常数比较分支静态识别模块,具体执行:
3.根据权利要求2所述的一种格式化字符串分支篡改后门检测方法,其特征在于,调用格式化字符串漏洞上下文动态收集模块,具体执行:
4.根据权利要求3所述的一种格式化字符串分支篡改后门检测方法,其特征在于,调用格式化字符串漏洞延迟利用模块,具体包括:
5.一种格式化字符串分支篡改后门检测系统...
【技术特征摘要】
1.一种格式化字符串分支篡改后门检测方法,其特征在于,在给定目标二进制程序和种子测试用例的情况下,所述方法包括:
2.根据权利要求1所述的一种格式化字符串分支篡改后门检测方法,其特征在于,调用全局变量-常数比较分支静态识别模块,具体执行:
3.根据权利要求2所述的一种格式化字符串分支篡改后门检测方法,其特征在于,调用格式化字符串漏洞上下文动态收集模块,具体执行:
4.根据权利要求3所述的一种格式化字符串分支篡改后门检测方法,其特征在于,调用格式化字符串漏洞延迟利用模块,具体包括:
5.一种格式化字符串分支篡改后门检测系统,其特征在于,所述系统包括:全局变量-常数比较分支静态识别模块、格式化字符串漏洞上下文动态收集模块、格式化字符串漏洞延迟利用模块、后门执行监控模块;其中,在给定目标二进制程序和种子测试用例的情况下:
6....
【专利技术属性】
技术研发人员:黄晖,陆余良,潘祖烈,朱凯龙,赵军,戚兰兰,卢灿举,
申请(专利权)人:中国人民解放军国防科技大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。