基于地址随机和段隔离的全局偏移表保护方法.docVIP

基于地址随机和段隔离的全局偏移表保护方法 　　摘要：在可执行和可链接格式（ELF）的可执行程序中，存在一个全局偏移表（GOT），用于存放引用库函数的绝对地址，但是在Linux系统中，GOT解引用和GOT覆写是两种比较常用的漏洞利用方法。通过分析GOT的特性，提出并实现了基于地址随机和段隔离的GOT保护方法。通过修改Linux的可执行程序加载器，将与GOT有数据指向关系的节均加载到随机内存地址；同时使用段隔离技术，对GOT的代码引用的指令使用一个新的段寄存器进行间接引用。实验结果证明，该方法不仅能够有效地防御针对GOT的漏洞利用方法，而且性能损耗极低，只有平均2.9ms的额外开销。 　　关键词： 　　全局偏移表保护；地址随机；段隔离；全局偏移表解引用；全局偏移表覆写 　　中图分类号： TP309.2 文献标志码：A 　　0引言 　　Linux是一套免费使用和自由传播的操作系统，广泛应用于文件服务器、数据库服务器、Web服务器、应用程序服务器等服务器之中。服务器作为提供基本服务的设备，需要保证其提供服务的可靠性和安全性。形形色色的针对服务器上的攻击，已经导致诸多严重的后果：敏感数据丢失或损失、系统受损以及经济损失等。其中，通过挖掘软件漏洞，利用漏洞进行攻击是最为常见的攻击方法。这些漏洞的成因主要是在软件设计和实现方面对如何保护系统考虑不周，在开发实践方面对消除会导致漏洞的实现瑕疵关注不够。攻击者在发现软件产品中的漏洞后，可以迅速开发出漏洞利用的脚本，继而使用这些脚本威胁计算机的安全。为了增加漏洞利用的难度，防御者在系统中部署了漏洞利用缓解技术，如地址空间布局随机化（Address Space Layout Randomization， ASLR）[1]和数据执行保护（Data Execution Prevention， DEP）[2]等，但是即使在部署了以上缓解技术的系统中，通过利用全局偏移表（Global Offset Table， GOT），可以绕过这些缓解技术从而实现漏洞的完美利用。 　　全局偏移表，是Linux下可执行程序中一个专门的节，用于存放依赖库函数的目的地址。因为延迟解析机制，全局偏移表中的库函数只有在第一次真正引用时才解析，并在解析后将目的地址写入全局偏移表，为此，全局偏移表具有可写权限。目前Linux虽然采用地址空间布局随机化技术，对栈、堆、共享库进行了随机化，但是可执行程序仍然加载到固定内存地址，因此全局偏移表仍然加载到固定内存地址，因此，全局偏移表是固定内存的可写函数指针集合。正是由于全局偏移表的这种特性，存在两种常见的使用全局偏移表的漏洞利用方法：全局偏移表解引用技术[3-4]和全局偏移表覆写技术[5-6]。全局偏移表解引用技术，通过信息泄露漏洞，读取全局偏移表中已解析的库函数地址，可以得到该函数的真实地址，为此可以计算得到相应动态链接库的基地址，从而绕过地址空间布局随机化的防护；全局偏移表覆写技术，通过任意地址写漏洞，修改全局偏移表中库函数的地址，能够劫持程序控制流。 　　针对这些攻击方式，有研究者提出了一些相应的保护方法。完全地只读重定位（Full Relocation ReadOnly， Full RELRO）[7-8]，禁用延迟解析，在链接器初始化阶段将所有全局偏移表中函数的值解析为真正函数的地址，然后将全局偏移表所在内存页标记为只读权限，很好地防止了对全局偏移表的改写。安全全局偏移表（Secure Global Offset Table， SecGOT）[9-10]，通过重写可执行和可链接格式（Executable and Linkable Format， ELF）[11]文件，并用定制的链接器进行链接，在链接时将全局偏移表移动到随机的内存中；同时修改访问全局偏移表的指令。 　　Full RELRO方法中，全局偏移表仍然位于固定内存地址，因此可以对全局偏移表内容进行直接读取，不能防止全局偏移表解引用。在启动时需对可执行程序使用的所有库函数进行解析，而函数符号解析过程相对比较耗时，对程序启动过程的性能影响较大。SecGOT方法随机不够彻底，虽然攻击者不能立刻知道全局偏移表地址，但是指向全局偏移表的数据和代码引用全局偏移表的指令仍位于固定地址，通过读取这些固定地址，可以计算得到全局偏移表的地址。针对这两种方法的不足，本文提出一种新的保护方法：基于地址随机和段隔离的全局偏移表保护（Global Offset Table protection based Randomization， GOTRand）方法。在可执行程序加载时，不仅将全局偏移表加载到随机的内存中，而且将所有对全局偏移表有数据指向关系的节也加载到随机内存中。同时，引用一个新的段寄存器，利用段的隔离特性，将所有对全局