未初始化使用漏洞是一種由于內(nèi)存在使用之前沒有進(jìn)行初始化而導(dǎo)致的軟件安全漏洞,由于原理簡單而被程序員忽視了其潛在危害。XNU內(nèi)核是蘋果公司macOS、iOS操作系統(tǒng)的內(nèi)核,而蘋果操作系統(tǒng)在PC領(lǐng)域和移動(dòng)設(shè)備領(lǐng)域都有較高的市場占有率,因此XNU內(nèi)核的安全性直接決定了PC和移動(dòng)設(shè)備的安全性。本文對(duì)XNU內(nèi)核中未初始化使用漏洞的檢測與利用進(jìn)行了深入研究。漏洞檢測方面,首先深入分析研究未初始化使用漏洞的成因,并據(jù)此對(duì)未初始化使用漏洞進(jìn)行科學(xué)分類,為更好地進(jìn)行未初始化使用漏洞的檢測奠定基礎(chǔ)。其次定義程序運(yùn)行時(shí)內(nèi)存狀態(tài)與操作,建立一個(gè)字節(jié)敏感的內(nèi)存區(qū)域模型,結(jié)合路徑敏感的內(nèi)存模型更新算法,提出了一個(gè)字節(jié)敏感、路徑敏感的未初始化使用漏洞檢測模型。最后使用Clang靜態(tài)分析器完成了一個(gè)基于此模型的靜態(tài)分析工具。漏洞利用方面,首先對(duì)macOS系統(tǒng)內(nèi)核堆的隨機(jī)性進(jìn)行研究,提出了內(nèi)核堆起始地址和分配順序的弱隨機(jī)性缺陷,并通過實(shí)驗(yàn)進(jìn)行了驗(yàn)證。其次對(duì)macOS Sierra上的兩個(gè)未初始化使用漏洞進(jìn)行了深入分析和研究,提出了利用這兩個(gè)漏洞針對(duì)macOS內(nèi)核的完整攻擊鏈。具體來說,先利用CVE-2017-2357繞... 

【文章來源】：上海交通大學(xué)上海市 211工程院校 985工程院校 教育部直屬院校

【文章頁數(shù)】：85 頁

【學(xué)位級(jí)別】：碩士

【部分圖文】：

–1污點(diǎn)分析技術(shù)基本過程

上海交通大學(xué)碩士學(xué)位論文第一章緒論1.2.2.3模糊測試技術(shù)模糊測試是一種自動(dòng)化的漏洞挖掘技術(shù)，本質(zhì)上是一種黑盒測試。無需對(duì)程序的內(nèi)部實(shí)現(xiàn)有較深的理解，通過向程序提供大量輸入數(shù)據(jù)即可進(jìn)行漏洞挖掘。提供的輸入數(shù)據(jù)可以是隨機(jī)生成的，也可以是根據(jù)樣本變異而來的半隨機(jī)樣本，還可以是根據(jù)一定的規(guī)則自動(dòng)生成的樣本。將這些樣本作為程序的輸入，監(jiān)視程序的運(yùn)行狀態(tài)，記錄程序所發(fā)生的異常來達(dá)到挖掘漏洞的目的。主要的流程如圖1–2所示。模糊測試和常見的動(dòng)態(tài)分析方法一樣存在著代碼路徑覆蓋率過低的問題，同時(shí)模糊測試由于只能捕捉程序異常狀態(tài)，因此主要挖掘?qū)ο笫莾?nèi)存破壞類型的漏洞，對(duì)于邏輯漏洞或者敏感信息泄露等不會(huì)導(dǎo)致程序運(yùn)行異常的漏洞幾乎無能為力。同時(shí)，由于程序異常之后通常就崩潰而退出，導(dǎo)致同一條代碼路徑上后續(xù)的代碼無法繼續(xù)被測試，將會(huì)導(dǎo)致深層次的漏洞難以挖掘的問題�？梢酝ㄟ^手動(dòng)打補(bǔ)丁的方式來修復(fù)已有的崩潰，繼續(xù)挖掘后續(xù)代碼路徑的安全漏洞。圖1–2模糊測試技術(shù)Figure1–2BlackBoxTest：FuzzingTechnologyAfl-fuzz（AmericanFuzzyLop）1是由一位Google的安全人員開發(fā)的著名模糊測試工具，通過自動(dòng)生成變異樣本來快速進(jìn)行測試；通過對(duì)程序插樁作為引導(dǎo)來提升代碼覆蓋率；通過新行為檢測算法來識(shí)別新的執(zhí)行路徑，避免在同一條路徑上花費(fèi)過多資源，以此提升效率；此外還結(jié)合forkserver技術(shù)和并行化技術(shù)顯著提升精確度和速度，是一款高效、簡單、健壯、強(qiáng)大的模糊測試工具。1http://lcamtuf.coredump.cx/afl/—7—

上海交通大學(xué)碩士學(xué)位論文第二章未初始化使用漏洞檢測模型設(shè)計(jì)與實(shí)現(xiàn)圖2–1一塊內(nèi)存區(qū)域的狀態(tài)機(jī)Figure2–1StateMachineofaMemoryRegion定義2.1(對(duì)內(nèi)存區(qū)域的操作).一個(gè)對(duì)特定內(nèi)存區(qū)域的操作可以表示為這樣的四元組：(operation,memRegion,offset,size)表示對(duì)memRegion偏移offset處大小為size字節(jié)的內(nèi)存進(jìn)行操作operation。operation的可能取值為分配、讀娶寫入、釋放。offset為相對(duì)于這塊內(nèi)存區(qū)域開始位置的相對(duì)偏移。具體來說，對(duì)于分配操作，擴(kuò)展為（分配，memRegion，0，size），表示分配一塊size大小字節(jié)的內(nèi)存區(qū)域memRegion，對(duì)于分配操作，相對(duì)偏移沒有意義，始終為0；對(duì)于讀取操作，擴(kuò)展為（讀取，memRegion，offset，size），表示在memRegion相對(duì)偏移offset處讀取size大小字節(jié)的數(shù)據(jù)；對(duì)于寫入操作，擴(kuò)展為（寫入，memRegion，offset，size），表示在memRegion相對(duì)偏移offset處讀取size大小字節(jié)的數(shù)據(jù)；對(duì)于釋放操作，擴(kuò)展為（釋放，memRegion，0，size），表示釋放size大小字節(jié)的內(nèi)存區(qū)域memRegion，對(duì)于釋放操作，相對(duì)偏移也沒有意義，始終為0。通過這樣的擴(kuò)展定義，我們可以確切地知道每一次對(duì)內(nèi)存區(qū)域的操作所涉及到的所有信息，有助于我們更好地確定狀態(tài)轉(zhuǎn)移情況以及是否發(fā)生了未初始化使用。在現(xiàn)有的四種內(nèi)存區(qū)域的狀態(tài)中，新分配、完全初始化和釋放狀態(tài)是比較清晰的狀態(tài)：新分配狀態(tài)的內(nèi)存必然是完全沒有初始化的，完全初始化狀態(tài)的內(nèi)存必然不會(huì)出現(xiàn)未初始化使用漏洞，而釋放狀態(tài)不會(huì)被使用（如果被使用則會(huì)發(fā)生釋放后使用漏洞，不在本文的研究范圍），因此也不存在未初始化使用漏洞。而部分初始化狀態(tài)的內(nèi)存區(qū)域狀態(tài)并沒有刻畫清楚，為此，為了更加精確地描述部分初始化的內(nèi)存區(qū)域的狀態(tài)，例如，—17—

【參考文獻(xiàn)】：
期刊論文
[1]二進(jìn)制程序漏洞挖掘關(guān)鍵技術(shù)研究綜述[J]. 王夏菁,胡昌振,馬銳,高欣竺.  信息網(wǎng)絡(luò)安全. 2017(08)
[2]2015年信息安全漏洞研究綜述P[J]. 魯剛,米士超,郭榮華.  信息安全與通信保密. 2016(05)



本文編號(hào)：3403097