检测在线漏洞检测

数据集:面向二进制程序崩溃的多级释放后重用漏洞检测技术和亮苏璞睿杨轶闫佳黄桦烽联系方式:heliang@iscas.
ac.
cn2020技术背景:释放后重用漏洞是目前公认的最为常见也是可利用性最高的一类漏洞.
现有检测方案的共同特点是需要从程序正常执行开始,如图1左侧,记录海量的内存分配、释放以及重分配等行为,导致检测与判定效率低下,同时由于存在如图2所示的多级释放后重用,使得现有检测方案难以准确检测出所有问题.
技术思路:如图1右侧,通过实时捕获程序运行时的内存异常访问所导致的崩溃,随后借助多级逆向切片技术来实现多级指针解引用的恢复,最后通过对每一级的目标对象实施"最后一次赋值"时刻查询,并与目标对象的内存分配与释放时间区间进行关联分析,从而不仅能够快速判定与检测出释放后重用漏洞发生的位置,同时还能有效检测出多级释放后重用的位置.
检测效果:Obj1Obj0(a)ForwardsReferencePropagation(b)BackwardsDereferenceStitching1.
mov[pObj1],pObj0Obj62.
movpObj1,[pObj4+0x4]3.
movpObj4,[pObj8+0x8]1.
movpObj0,[pObj1]0.
call[pObj0+0x4]Obj2Obj3Obj4Obj5Obj6Obj7Obj8Obj9图1.
正向检测方案vs.
回溯检测方案objBlifecycleobjAlifecycle①StoreRefobjA④LoadRefobjA(RefobjBUAF)(HeapBlock1)size=0x30(HeapBlock2)size=0x60(HeapBlock3)size=0x10objClifecycleobjDlifecycle②StoreRefobjB③LoadRefobjB⑤Crash!
(RefobjAUAF)图2.
多级释放后重用导致的漏洞检测困难