学位论文 > 优秀研究生学位论文题录展示
缓冲区溢出漏洞的挖掘与利用方法研究
作 者: 彭青白
导 师: 吴永英
学 校: 华中科技大学
专 业: 计算机系统结构
关键词: 漏洞挖掘 漏洞分析 漏洞利用 逆向工程 模糊测试 缓冲区溢出
分类号: TP393.08
类 型: 硕士论文
年 份: 2009年
下 载: 65次
引 用: 0次
阅 读: 论文下载
内容摘要
随着计算机及网络技术的飞速发展,计算机网络犯罪事件层出不穷,打击计算机网络犯罪日显重要。此外,信息战不可避免地会成为未来新的作战方式。因此,研究漏洞挖掘与利用技术,无论是从打击计算机网络犯罪还是从信息对抗来说都具有重要的理论意义和实用价值。分析了目前两种主流的漏洞挖掘方法,说明了这些方法进行漏洞挖掘的技术思路,总结了各自优缺点,在此基础上给出了漏洞分析的基本步骤。围绕漏洞利用技术的发展,分析了栈溢出和堆溢出的基本原理和利用技巧。在总结传统漏洞挖掘方法不足的基础上,探索性地给出了一种基于逆向工程和Fuzzing测试的漏洞挖掘方法,阐述了该方法的指导思想和技术思路。基于所提出的漏洞挖掘方法,围绕超星阅览器存在的一个0day安全漏洞,说明了该漏洞的详细挖掘过程,给出了该漏洞的形成原因。针对所挖掘出的超星阅览器的漏洞,探讨了利用该漏洞的可行性,给出了漏洞利用程序的设计原则和设计思想,设计了相应的漏洞利用程序。围绕漏洞利用程序实现中涉及到的关键技术,重点说明了Shellcode编写的要点,包括返回地址的定位、API(Application Programming Interface)函数调用地址的动态定位以及对Shellcode的安全保护措施。实际运行结果表明,基于逆向工程和Fuzzing测试的漏洞挖掘方法是一种兼顾了自动化和目的性的漏洞挖掘方法,能有效地挖掘出某些未知漏洞。而面向SSR(Super Star Reader)漏洞的利用程序除具有较强的通用性和稳定性外,还能在多个操作系统中运行,并能成功避免主流反病毒软件的监控和查杀,具有一定的实用价值。
|
全文目录
摘要 4-5 Abstract 5-9 1 绪论 9-14 1.1 研究背景 9-10 1.2 研究现状 10-12 1.3 课题研究的意义、内容及目标 12-14 2 相关技术基础 14-22 2.1 概述 14-15 2.2 漏洞挖掘的主流方法 15-17 2.3 漏洞分析的基本步骤 17-19 2.4 漏洞利用的主流方法 19-21 2.5 小结 21-22 3 缓冲区溢出漏洞的一种挖掘方法 22-32 3.1 传统漏洞挖掘技术存在的不足 22-23 3.2 指导思想 23 3.3 基于逆向工程和Fuzzing 测试的漏洞挖掘方法 23-24 3.4 一个漏洞挖掘的实例 24-31 3.5 小结 31-32 4 面向SSR 漏洞的利用程序 32-48 4.1 设计原则 32-33 4.2 设计思想 33-34 4.3 Shellcode 编码 34-45 4.4 实验及分析 45-47 4.5 小结 47-48 5 结束语 48-50 5.1 已完成的工作 48 5.2 下一步的工作 48-50 致谢 50-51 参考文献 51-54 附录 英文缩写词 54-55
|
相似论文
- 基于遗传算法的模糊测试技术研究,TP311.53
- 基于leon3处理器的存储器监控模块设计,TP368.1
- 网络协议的自动化Fuzz Testing漏洞挖掘方法,TP393.08
- 嵌入式系统抗缓冲区溢出攻击的硬件防御机制研究,TP393.08
- 基于海量点云的三维模型快速重建技术研究,TP391.41
- 服装面积因子及其热阻测评研究,TS941.17
- 非光滑车表汽车的空气阻力特性研究,U461.1
- 超薄悬挑仿生结构的性能研究,TB17
- 基于最小包围盒及自适应聚类的三维R~*-树索引结构,TP311.12
- 基于C-V模型的工业CT三维图像曲面面积与内腔体积测量算法研究,TP391.41
- 工业CT图像二维矢量化系统研究与改进,TP391.41
- 基于逆向工程和快速原型技术的快速模具制造技术研究,TG76
- 借助三维重建建立特发性脊柱侧凸新分型,R687.3
- 基于GCC的缓冲区溢出检测研究,TP393.08
- Fuzzing漏洞挖掘与溢出利用分析技术研究,TP393.08
- 基于动态污点分析的状态协议实现软件模糊测试方法研究,TP311.52
- 基于逆向工程的皮鞋帮样及整鞋设计,TS943.2
- 自动流量平衡阀电磁辅助实体模快速制造技术研究,TG391
- 基于逆向工程的复杂铸件的质量检测,TG247
- 虚拟样机技术在拖拉机造型中的应用研究,S219.02
- 基于闭环理论的自由曲面CMM测量和建模的研究,TH721
中图分类: > 工业技术 > 自动化技术、计算机技术 > 计算技术、计算机技术 > 计算机的应用 > 计算机网络 > 一般性问题 > 计算机网络安全
© 2012 www.xueweilunwen.com
|