基于Crash的漏洞利用自动生成系统

发布时间：2022-02-19 12:42

　　漏洞分析、自动化攻防对漏洞利用自动生成的需求越来越迫切,在分析现有方案的基础上,结合动态分析、混合符号执行等技术,提出基于Crash的漏洞利用自动生成方法 C-Rex。该方法能够针对缓冲区溢出漏洞自动生成劫持控制流的漏洞利用样本。完成以下工作:①设计路径搜索算法复现崩溃路径并挖掘新崩溃点;②分析崩溃状态,对可利用性进行判定;③根据需求采用代码注入或代码复用技术生成劫持控制流的漏洞利用样本。通过对CTF题目及10款开源应用进行测试,C-Rex均能成功生成漏洞利用样本,证明该方法的有效性。 

【文章来源】：现代计算机. 2020,(14)

【文章页数】：6 页

【文章目录】：
0 引言
1 方法概述
2 系统设计与实现
    2.1 Crash路径搜索
        (1)Concolic TracingQEMU
        (2)Path Explore
        (3）参数优化
    2.2可利用性判定
    2.3利用生成
        (1）代码注入
        (2）代码复用
3 实验与评估
    (1）实验环境
    (2）有效性验证
    (3）对比测试
4 相关工作
5 结语


【参考文献】：
期刊论文
[1]人工智能技术在安全漏洞领域的应用[J]. 孙鸿宇,何远,王基策,董颖,朱立鹏,王鹤,张玉清.  通信学报. 2018(08)



本文编号：3632918