漏洞分析、自動化攻防對漏洞利用自動生成的需求越來越迫切,在分析現(xiàn)有方案的基礎(chǔ)上,結(jié)合動態(tài)分析、混合符號執(zhí)行等技術(shù),提出基于Crash的漏洞利用自動生成方法 C-Rex。該方法能夠針對緩沖區(qū)溢出漏洞自動生成劫持控制流的漏洞利用樣本。完成以下工作:①設(shè)計路徑搜索算法復(fù)現(xiàn)崩潰路徑并挖掘新崩潰點;②分析崩潰狀態(tài),對可利用性進行判定;③根據(jù)需求采用代碼注入或代碼復(fù)用技術(shù)生成劫持控制流的漏洞利用樣本。通過對CTF題目及10款開源應(yīng)用進行測試,C-Rex均能成功生成漏洞利用樣本,證明該方法的有效性。 

【文章來源】：現(xiàn)代計算機. 2020,(14)

【文章頁數(shù)】：6 頁

【文章目錄】：
0 引言
1 方法概述
2 系統(tǒng)設(shè)計與實現(xiàn)
    2.1 Crash路徑搜索
        (1)Concolic TracingQEMU
        (2)Path Explore
        (3）參數(shù)優(yōu)化
    2.2可利用性判定
    2.3利用生成
        (1）代碼注入
        (2）代碼復(fù)用
3 實驗與評估
    (1）實驗環(huán)境
    (2）有效性驗證
    (3）對比測試
4 相關(guān)工作
5 結(jié)語


【參考文獻】：
期刊論文
[1]人工智能技術(shù)在安全漏洞領(lǐng)域的應(yīng)用[J]. 孫鴻宇,何遠,王基策,董穎,朱立鵬,王鶴,張玉清.  通信學報. 2018(08)



本文編號：3632918