二进制程序中的use-after-free漏洞检测技术

发布时间：2018-05-15 12:28

  本文选题：use-after-free + 静态分析　； 参考：《清华大学学报(自然科学版)》2017年10期

【摘要】：Use-after-free漏洞(简称UaF漏洞)是当前最流行的高危内存破坏漏洞。目前针对UaF漏洞的检测工作并不完善,原因是UaF漏洞产生的特征是分配内存、释放内存、使用已释放的内存并按顺序出现,而这3种事件可能出现在程序的任何位置,需要跟踪较长的执行序列并搜索潜在的危险事件序列才能检测到该漏洞,这很大程度上提高了检测的难度。该文针对UaF漏洞,分析了漏洞的产生原因、利用方式、带来的安全威胁以及漏洞检测技术面临的挑战,并设计和实现了一个基于静态分析和动态符号执行的面向二进制文件的UaF漏洞检测系统。经测试,该系统能够检测出已公开的UaF漏洞。通过该系统检测软件中的UaF漏洞,及时对软件进行修复或防护,可以有效提高软件的健壮性,减少UaF漏洞带来的安全隐患。
[Abstract]:Use-after-free vulnerability (UaF vulnerability) is the most popular high-risk memory corruption vulnerability. At present, the detection of UaF vulnerability is not perfect, because the characteristic of UaF vulnerability is to allocate memory, free memory, use freed memory and appear in order, and these three events may occur anywhere in the program. It is necessary to track long execution sequences and search for potentially dangerous event sequences to detect this vulnerability, which greatly increases the difficulty of detection. In this paper, the reasons for the vulnerability, the way of exploitation, the security threat and the challenge of vulnerability detection technology are analyzed in this paper. A binary file oriented UaF vulnerability detection system based on static analysis and dynamic symbol execution is designed and implemented. After testing, the system can detect the open UaF vulnerability. By detecting the UaF vulnerability in the software and repairing or protecting the software in time, the system can effectively improve the robustness of the software and reduce the security hidden trouble caused by the UaF vulnerability.
【作者单位】： 北京大学计算机科学技术研究所;清华大学网络科学与网络空间研究院;
【基金】：国家自然科学基金资助项目(61402125)
【分类号】：TP309

【相似文献】

相关期刊论文 前10条

1 高妍;;计算机软件安全漏洞检测技术与应用[J];计算机光盘软件与应用;2014年04期

2 黄海滨;王艳芳;;计算机软件安全漏洞检测技术的应用研究[J];电脑与电信;2013年04期

3 杨基慧;;软件安全漏洞检测技术初探[J];电子技术与软件工程;2014年02期

4 悟空;漏洞检测——金山毒霸2003[J];电脑知识与技术;2003年17期

5 李克锋;;计算机软件中安全漏洞检测技术及其应用[J];电子技术与软件工程;2014年01期

6 陈平;韩浩;沈晓斌;殷新春;茅兵;谢立;;基于动静态程序分析的整形漏洞检测工具[J];电子学报;2010年08期

7 屈晔;张昊;;BugScam自动化静态漏洞检测的分析[J];电子产品可靠性与环境试验;2006年04期

8 屈晔;张昊;;bugscam自动化静态漏洞检测的分析[J];信息安全与通信保密;2007年03期

9 王子强;李媛州;向东;;面向C/C++代码的漏洞检测系统原理与实现[J];计算机应用与软件;2011年05期

10 梅瑞;孟正;霍玮;;典型文档类CVE漏洞检测工具的研究与实现[J];信息网络安全;2014年06期

相关会议论文 前3条

1 许庆光;李强;余祥;何海洋;;指挥信息系统输入验证漏洞检测方法研究[A];2014第二届中国指挥控制大会论文集（上）[C];2014年

2 林锦滨;张晓菲;刘晖;;符号执行技术研究[A];全国计算机安全学术交流会论文集（第二十四卷）[C];2009年

3 刘峻宇;李强;余祥;何海洋;;基于符号执行的指挥信息系统软件缺陷检测技术[A];2014第二届中国指挥控制大会论文集（上）[C];2014年

相关博士学位论文 前8条

1 杨哲a\;Java语言的程序漏洞检测与诊断技术[D];复旦大学;2012年

2 张羽丰;符号执行可扩展性及可行性关键技术研究[D];国防科学技术大学;2013年

3 李游;统一的软件测试控制流覆盖准则体系及其符号执行制导技术研究[D];南京大学;2016年

4 傅先进;基于符号执行的MPI程序分析与验证技术研究[D];国防科学技术大学;2016年

5 范文庆;分段符号执行模型及其环境交互问题研究[D];北京邮电大学;2010年

6 安靖;动态符号执行关键技术研究[D];北京邮电大学;2014年

7 曹琰;面向软件脆弱性分析的并行符号执行技术研究[D];解放军信息工程大学;2013年

8 陈厅;动态程序分析技术在软件安全领域的研究[D];电子科技大学;2013年

相关硕士学位论文 前10条

1 杨高明;SQL注入的自动化检测技术研究[D];电子科技大学;2015年

2 牛国芬;基于CVE的漏洞检测系统的设计与实现[D];电子科技大学;2014年

3 王耀辉;基于程序分析的SQL漏洞检测系统的研究与实现[D];北京工业大学;2015年

4 王广龙;基于静态分析的JAVA源代码漏洞检测系统设计与实现[D];华中科技大学;2014年

5 王欢;静动态结合的安全漏洞检测方法研究[D];华中科技大学;2014年

6 卢旭阳;应用软件漏洞检测技术研究[D];齐齐哈尔大学;2016年

7 周严;基于污点分析的静态漏洞检测可扩展框架[D];南京大学;2017年

8 王文勇;计算机软件漏洞检测系统的设计与实现[D];哈尔滨工业大学;2012年

9 王祥雒;基于静态分析的缓冲溢出漏洞检测研究[D];电子科技大学;2007年

10 陆黎;Xen虚拟化环境漏洞检测方法的设计与实现[D];北京交通大学;2016年

，

本文编号：1892464