漏洞分析、自動(dòng)化攻防對(duì)漏洞利用自動(dòng)生成的需求越來越迫切,在分析現(xiàn)有方案的基礎(chǔ)上,結(jié)合動(dòng)態(tài)分析、混合符號(hào)執(zhí)行等技術(shù),提出基于Crash的漏洞利用自動(dòng)生成方法 C-Rex。該方法能夠針對(duì)緩沖區(qū)溢出漏洞自動(dòng)生成劫持控制流的漏洞利用樣本。完成以下工作:①設(shè)計(jì)路徑搜索算法復(fù)現(xiàn)崩潰路徑并挖掘新崩潰點(diǎn);②分析崩潰狀態(tài),對(duì)可利用性進(jìn)行判定;③根據(jù)需求采用代碼注入或代碼復(fù)用技術(shù)生成劫持控制流的漏洞利用樣本。通過對(duì)CTF題目及10款開源應(yīng)用進(jìn)行測(cè)試,C-Rex均能成功生成漏洞利用樣本,證明該方法的有效性。 

【文章來源】：現(xiàn)代計(jì)算機(jī). 2020,(14)

【文章頁數(shù)】：6 頁

【文章目錄】：
0 引言
1 方法概述
2 系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)
    2.1 Crash路徑搜索
        (1)Concolic TracingQEMU
        (2)Path Explore
        (3）參數(shù)優(yōu)化
    2.2可利用性判定
    2.3利用生成
        (1）代碼注入
        (2）代碼復(fù)用
3 實(shí)驗(yàn)與評(píng)估
    (1）實(shí)驗(yàn)環(huán)境
    (2）有效性驗(yàn)證
    (3）對(duì)比測(cè)試
4 相關(guān)工作
5 結(jié)語


【參考文獻(xiàn)】：
期刊論文
[1]人工智能技術(shù)在安全漏洞領(lǐng)域的應(yīng)用[J]. 孫鴻宇,何遠(yuǎn),王基策,董穎,朱立鵬,王鶴,張玉清.  通信學(xué)報(bào). 2018(08)



本文編號(hào)：3632918