shellcode攻击与防范技术

第３６卷　第１８期　Ｖｏ１．３６　・计算机工程　２０１０年９月　Ｓｅｐｔｅｍｂｅｒ　２０１０　Ｎｏ．１８　Ｃｏｍｐｕｔｅｒ　Ｅｎｇｉｎｅｅｒｉｎｇ　安全技术・　文章编号：１００ｏ—３４２８（２ｏ１ｏ）１８－＿０１６３—ｏ３　文献标识码：Ａ　中图分类号：ＴＰ３９３・０８　ｓｈｅｌｌｃｏｄｅ攻击与防范技术　王薏　，李祥和　，关龙　，崔宝江　（１．北京邮电大学计算机学院，北京１００８７６；２．解放军信息工程大学信息工程学院，郑州４５０００２；　３．大连理工大学电子与信息工程学院，辽宁大连１１６０２４）　摘要：针对Ｗｉｎｄｏｗｓ系统环境下，攻击者通过ｓｈｅｌｌｃｏｄｅ代码威胁系统安全的问题，研究ｓｈｅｌｌｃｏｄｅ攻击与防范方法。分析ｓｈｅｌｌｃｏｄｅ代码　的工作原理、攻击过程及多种变化，介绍新型Ｗｉｎｄｏｗｓ系统采用的ＧＳ和ＡＳＬＲ保护对ｓｈｅｌｌｃｏｄｅ攻击的防范机制，并通过实验验汪其防　范效果。结果证明，实施ｓｈｅｌｌｃｏｄｅ攻击需要一定的条件，而Ｇｓ和ＡＬＳＲ可破坏这些攻击条件的形成，有效阻止攻击。　关健词：ｓｈｅｌｌｃｏｄｅ代码；编码；定位　Ａｔｔａｃｋ　ａｎｄ　Ｄｅｆｅｎｄｉｎｇ　Ｔｅｃｈｎｏｌｏｇｙ　ｏｆ　ｓｈｅｌｌｃｏｄｅ　ＷＡＮＧ　Ｙｉｎｇ　，ＬＩ　Ｘｉａｎｇ．ｈｅ　，ＧＵＡＮ　Ｌｏｎｇ　，ＣＵＩ　Ｂａｏ－ｊｉａｎｇ　（１．Ｓｃｈｏｏｌ　ｏｆ　Ｃｏｍｐｕｔｅｒ，Ｂｅｉｊｉｎｇ　Ｕｎｉｖｅｒｓｉｔｙ　ｏｆ　Ｐｏｓｔｓ　ａｎｄ　Ｔｅｌｅｃｏｍｍｕｎｉｃａｔｉｏｎｓ，Ｂｅｉｊｉｎｇ　１　００８７６，Ｃｈｉｎａ；　２．Ｉｎｓｔｉｔｕｔｅ　ｏｆ　Ｉｎｆｏｒｍａｔｉｏｎ　Ｅｎｇｉｎｅｅｒｉｎｇ，ＰＬＡ　Ｉｎｆｏｒｍａｔｉｏｎ　Ｅｎｇｉｎｅｅｒｉｎｇ　Ｕｎｉｖｅｒｓｉｔｙ，Ｚｈｅｎｇｚｈｏｕ　４５０００２，Ｃｈｉｎａ；　３．Ｓｃｈｏｏｌ　ｏｆＥｌｅｃｔｒｏｎｉｃ　ａｎｄ　Ｉｎｆｏｒｍａｔｉｏｎ　Ｅｎｇｉｎｅｅｒｉｎｇ，Ｄａｌｉａｎ　Ｕｎｉｖｅｒｓｉｔｙ　ｏｆＴｅｃｈｎｏｌｏｇｙ，Ｄａｌｉａｎ　１１６０２４，Ｃｈｉｎａ）　［Ａｂｓｔｒａｃｔ］Ａｉｍｉｎｇ　ａｔ　ｔｈｅ　ｐｒｏｂｌｅｍ　ｔｈａｔ　ｓｈｅｌｌｃｏｄｅ　ｔｈｒｅａｔｓ　ｔｈｅ　ｓｅｃｕｒｉｔｙ　ｏｆ　ｈｅ　ｏｐｅｒａｔｔｉｎｇ　ｓｙｓｔｅｍ，ｔｈｉｓ　ｐａｐｅｒ　ｒｅｓｅａｒｃｈｅｓ　ｏｎ　ｔｈｅ　ｓｈｅｌｌｃｏｄｅ　ａｔｔａｃｋ　ａｎｄ　ｔｈｅ　ｍｅｔｈｏｄ　ａｇａｉｎｓｔ　ｔｈｅ　ａｔｔａｃｋ．Ｐｒｉｎｃｉｐｌｅ，ｃｏｎｓｉｓｔｉｎｇ　ａｎｄ　ｐｒｏｃｅｓｓ　ｏｆ　ｔｈｅ　ｓｈｅｌｌｃｏｄｅ　ａｔｔａｃｋ　ａｒｅ　ａｎａｌｙｓｅｄ．Ｔｈｅ　ＧＳ　ａｎｄ　ＡＬＳＲ　ｗｏｒｋ　ａｇａｉｎｓｔ　ｔｈｅ　ｓｈｅｌｌｃｏｄｅ　ａｔｔａｃｋ，ａｎｄ　ｔｈｅ　ｅｆｆｅｃｔ　ｏｆ　ｈｅ　ｔＧＳ　ａｎｄ　ＡＬＳＲ　ｐｒｏｔｅｃｔｉｏｎ　ｍｅｃｈａｎｉｓｍ　ｉｓ　ｔｅｓｔｅｄ．Ｅｘｐｅｒｉｍｅｎｔａｌ　ｒｅｓｕｌｔｓ　ｓｈｏｗ　ｔｈａｔ　ｉｔ　ｎｅｅｄｓ　ｓｏｍｅ　ｃｏｎｄｉｔｉｏｎｓ　ｗｈｅｎ　ｔｈｅ　ａｔｔａｃｋｅｒ　ｃａｒｒｉｅｓ　ｏｕｔ　ｔｈｅ　ｓｈｅｌｌｃｏｄｅ　ａｔｔａｃｋ，ａｎｄ　ｔｈｅ　ｎｅｗ　ｐｒｏｔｅｃｔｉｏｎ　ｍｅｃｈａｎｉｓｍ　ｃａｎ　ｌｉｍｉｔ　ｔｈｉｓ　ｃｏｎｄｉｔｉｏｎ　ａｇａｉｎｓｔ　ｈｅ　ｔａｔｔａｃｋ．　［Ｋｅｙ　ｗｏｒｄｓ　ｌ　ｓｈｅｌｌｃｏｄｅ；ｃｏｄｉｎｇ；ｌｏｃａｔｉｏｎ　向进程中植入一段用于获得ｓｈｅｌｌ的代码称为　“ｓｈｅｌｌｃｏｄｅ”。目前，人们通常用ｓｈｅｌｌｃｏｄｅ这个专用术语来统　加载的动态链接库的信息。　（４）ＰＥＢ—ＬＤＲ—ＤＡＴＡ结构体偏移位置为０ｘｌＣ的地方获得　称缓冲区溢出攻击中植入进程的代码。这段代码可删改系统　重要文件、窃取数据、上传病毒或创建有特权的帐户，甚至　格式化硬盘等，为此研究有效防范ｓｈｅｌｌｃｏｄｅ的方法是必要的。　执行模块初始化链表的头指针ＩｎｌｎｉｔｉａｌｉｚａｔｉｏｎＯｒｄｅｒＭｏｄｕｌｅ　Ｌｉｓｔ。　（５）模块初始化链表ＩｎｌｎｉｔｉａｌｉｚａｔｉｏｎＯｒｄｅｒＭｏｄｕｌｅＬｉｓｔ中按顺　ｌ　ｓｈｅｌｌｃｏｄｅ攻击　１．１　ｓｈｅｌｌｃｏｄｅ编写　为了完成特定功能，ｓｈｅｌｌｃｏｄｅ需要调用很多系统ＡＰＩ，　然而在不同的操作系统版本中对系统动态链接库的加载基址　是不同的；同时不同的补丁版本对应的动态链接库的内容也　有所不同，包括动态链接库的文件大小和导出函数的偏移地　序存放着ＰＥ装入运行时初始化模块的信息，第１个链表结　点是ｎｔｄｌ１．ｄ１ｌ，第２个链表结点是ｋｅｒｎｅｌ３２．ｄｌｌ。　（６）找到属于ｋｅｒｎｅｌ３２．ｄｌｌ的结点后，在其偏移０ｘ０８处就　是ｋｅｒｎｅｌ３２．ｄｌｌ在内存中的加载基址。　（７）从ｋｅｒｎｅｌ３２．ｄｕ的加载基址算起，偏移０ｘ３Ｃ的地方就　是其ＰＥ头。　（８）在ＰＥ头偏移０ｘ７８的地方可以获得指向函数导出表的　指针。　址等，所以，在ｓｈｅｌｌｃｏｄｅ中使用静态函数地址来调用ＡＰＩ　会使其通用性受到很大限制，只能动态搜索。　在ｗｉｎ一３２平台下搜索动态链接库中ＡＰＩ地址的方法，　可以概括如下…：从Ｆｓ所指的线程控制块开始，一直追溯到　动态链接库的函数名导出表，确定所需的ＡＰＩ函数的相对位　（９）导出表偏移０ｘｌＣ处的指针指向存储导出函数偏移地　址（ＲＶＡ）的列表。　（１０）导出表偏移０ｘ２０处的指针指向存储导出函数名的　列表。　置，然后在函数偏移地址（ＲＶＡ）导出表中相应位置取得此地　址，最后与动态链接库地址相加得到ＡＰＩ的绝对地址。　在ｗｉｎ一３２平台下定位ｋｅｒｎｅｌ３２．ｄｌｌ中的ＡＰＩ地址的具体　步骤如下　：　（１１）函数的ＲＶＡ地址和名字按照顺序存放在上述２个列　表中，可以先在名＿称列表中确定所需函数的相对位置，然后　基金项目：国家“８６３”计划基金资助项目（２００７ＡＡ０１Ｚ４６６）；国家　部委预研基金资助项目　（１）通过段选择字Ｆｓ在内存中找到当前线程控制块ＴＥＢ。　（２）在线程控制块偏移位置为０ｘ３０的地方获得进程控制　块ＰＥＢ的指针。　作者倚介：王博士　颖（１９７８－－），女，博士研究生，主研方向：计算机网　龙，硕士研究生；崔宝江，副教授、　络安全；李祥和，教授；关收稿日期：２０１０—０４—１０　（３）在进程控制块中偏移位置为０ｘ０Ｃ的地方获得指向　ＰＥＢＬＤＲ——ＤＡＴＡ结构体的指针，该指针存放着已经被进程　Ｅ－ｍａｉｌ：ｚｊｊｉｎｂｙ＠１６３．ｃｏｍ　～ｌ６３—　

在地址列表中找到对应的ＲＶＡ。　（１２）获得ＲＶＡ后，ＪＪｎ￣前面已经得到的动态链接库的基　址，得到所需要ＡＰＩ在内存中的虚拟地址操作流程，如图１　所示。　获得ｋｅｎｒｅｌ３２．ｄｌｌ的基地址　获得函数名称导出表、　函数偏移地址ＲＶＡ　导出表的入口地址　将指针指向下一个函数名　Ｎ　是所需函数？　、／　上Ｙ　取出对应的ＲＶＡ，　计算出所需ＡＰＩ的绝对地址　保存所需ＡＰＩ地址　圈１获得ｋｅｒｎｅｌ３２中ＡＰＩ地址的渡程　在编写通用ｓｈｅｌｌｃｏｄｅ时，利用此方法获得ｋｅｒｎｅｌ３２．ｄｌｌ　中的ＧｅｔＰｒｏｃＡｄｄｒｅｓｓ和ＬｏａｄＬｉｂｒａｒｙ这２个函数后，其他所　需要的ＡＰＩ函数可以直接使用这２个函数动态获得。利用此　种方法编写的ｓｈｅｌｌｃｏｄｅ，可以提高ｓｈｅｌｌｃｏｄｅ的通用性。　１．２　ｓｈｅｌｉｃｏｄｅ编码　在很多情况下，ｓｈｅｌｌｃｏｄｅ的内容会受到限制。首先，所　有的字符串函数都会对ＮＵＬＬ字节进行限制，其次，在不同　的目标程序中，对ｓｈｅｌｌｃｏｄｅ的要求也不同。比如Ｆｏｘｍａｉｌ的　ｓｈｅｌｌｃｏｄｅ里不能有“／’＇字符，ＩＩＳ的ｓｈｅｌｌｃｏｄｅ里面不能有“Ｌｘ２０”　字符。最后，基于特征的ＩＤＳ系统往往也会对常见的ｓｈｅＵｃｏｄｅ　进行拦截。　利用ｓｈｅｌｌｃｏｄｅ编码，可以突破各种限制，使其符合各种　限制条件。最后，在真正ｓｈｅｌｌｃｏｄｅ前面加上几条解码指令，　对ｓｈｅｌｌｃｏｄｅ进行解码后再执行。　编码方法常用的有以下４种：　（１）异或不变法　异或编码是一种最简单的编码，只需要将编码后的　ｓｈｅｌｌｃｏｄｅ每位与编码时使用的ｋｅｙ再次异或即可解码。编码　代码如下所示：　ｕｎｓｉｇｎｅｄ　ｃｈａｒ　ｓｈｅｌｌｃｏｄｅ［］：”￣ｘ５０＼ｘ００＼ｘ５０＼…　５８”：　／／含有、ｘｏｏ的ｓｈｅｌｌｃｏｄｅ　ｉｎｔ　ｎＬｅｎ：ｓｉｚｅｏｆ（ｓｈｅｌｌｃｏｄｅ）一１；　／／获得ｓｈｅｌｌｃｏｄｅ的长度　ｆｏｒ（ｉ＝０；ｉ＜ｎＬｅｎ；ｉ＋＋１　｛ｓｈｅｌｌｃｏｄｅｌｉ］＝ｓｈｅｌｌｃｏｄｅ［ｉ］　ｋｅｙ；　／／对每一位ｓｈｅｌｌｃｏｄｅ作ｘｏｒ　ｋｅｙ编码｝　需要注意的是用于异或编码的ｋｅｙ值，不能选取　ｓｈｅｌｌｃｏｄｅ中已有的字符，否则编码后产生的ＮＵＬＬ字节会使　ｓｈｅｌｌｃｏｄｅ被截断，无法实现相应功能。　（２）循环移位法　循环移位法与异或不变法相似，都是对每一个字符单独　进行编码，选择的移位位数作为ｋｅｙ。解码时，只需对每个　字符反向循环移动ｋｅｙ位即可。　比如，采用循环左移法编码，ｋｅｙ＝５，编码算法如下所示：　ｕｎｓｉｇｎｅｄ　ｃｈａｒ　ＳｈｉｆｆＬ５（ｕｎｓ噜ｎｅｄ　ｃｈａｒ　ｃｏｄｅ）　ｆ／／对每一个字符进行循环左移５位编码　ｕｎｓｉｇｎｅｄ　ｃｈａｒ　ａ＝ｃｏｄｅ；　一１６４一　ａｓｍＩ　ｒｏｌ　ａ，０ｘ０５；Ｊ　ｒｅｔｕｒｎ　ａ；｝　ｕｎｓｉｇｎｅｄ　ｃｈａｒ　ｓｈｅｌｌｃｏｄｅ［］＝’’＼ｘ５８＼ｘ００＼ｘ５０＼ｘ０ｃ’‘：　Ｉ／含有＼ｘＯ０的ｓｈｅｌｌｃｏｄｅ　ｉｎｔ　ｎＬｅｎ＝ｓｉｚｅｏ“ｓｈｅｌｌｃｏｄｅ）一１；　／／获得ｓｈｅｌｌｃｏｄｅ的长度　ｆｏｒ（ｉ＝Ｏ；ｉ＜ｎＬｅｕ；ｉ＋＋１　ｆ　ｓｈｅｌｌｃｏｄｅ［ｉ］＝ＳｈｉｆＩＬ５（ｓｈｅｌｌｃｏｄｅｆｊＪ）：　，／对每一位ｓｈｅｌｌｃｏｄｅ作循环左移５位编码　｝　（３）微调法　Ｊ　有时在解码指令中出现了几个非法字符，或者ｓｈｅｌｌｃｏｄｅ　中仅有个别的非法字符，此时可以采用微调法进行编码。微　调法原理就是在不改变指令功能的情况下，个别改变使用的　代码。这种等价变换法对有少量字符限制的情况比较实用。　比如，在ＩＩＳ漏洞里不能有０ｘ２０，但在ｓｈｅｌｌｃｏｄｅ中出现　了ｍｏｖ　ｅｂｘ，２０ｈ指令，此时可以采用微调法对其更改。若修　改成ｍｏｖ　ｅｂｘ，３４ｈ；ｓｕｂ　ｅｂｘ，１４ｈ，这２条指令与原指令的执　行效果是一样的，都是将ｅｂｘ的值减去０ｘ２０，但微调后，避　免了在ｓｈｅｌｌｃｏｄｅ中出现０ｘ２０。　（４）内存搜索法　在一些特殊情况下，对ｓｈｅｌｌｃｏｄｅ的长度会有所限制，比　如不能超过１００　Ｂｙｔｅ，但所编写的ｓｈｅｌｌｃｏｄｅ不符合要求，此　时可以采用内存搜索法。内存搜索法是对ｓｈｅｌｌｃｏｄｅ进行分段，　做一个短的搜索ｓｈｅｌｌｃｏｄｅ的代码，真正的ｓｈｅｌｌｃｏｄｅ放在内　存的其他地方。首先执行搜索ｓｈｅｌｌｃｏｄｅ的代码，其功能是在　内存中查找真正的ｓｈｅｌｌｃｏｄｅ，找到后就跳转去执行。由于搜　索代码一般很短，因此能满足对长度限制的要求。可以采用　如下的汇编代码实现搜索功能：　ｘｏｒ　ｅｂｘ，ｅｂｘ　ａｄｄ　ｅｓｉ，２００００　ａｇａｉｎ：ｌｎＣ　ｅｓｌ　ｍｏｖ　ｅａｘ，ｄｗｏｒｄ　ｐｔｒ　ｄｓ：［ｅｓｉ】　ｃｍｐ　ｅａｘ，５０５８５０５８　ｊｎｚ　ａｇａｉｎ　ｊｍｐ　ｅｓｌ　此段代码从ｅｓｉ＋２００００ｈ处的地址空问开始查找，直到找　到５０５８５０５８数据为止，然后跳转到此处继续执行。５０５８５０５８　是存放真正的ｓｈｅＵｃｏｄｅ地址前缀，是“准ｈｏｐ”指令（５０对　应的汇编指令是ｐｕｓｈ　ｅａｘ，５８；对应的汇编指令是ｐｏｐ　ｅａｘ）。　这样的汇编指令在代码中一般是唯一的。　各种编码方法各有优势，在实际应用中，应根据具体情　况选择合适的编码算法。有时需要采用几种方法同时进行编　码，比如先采用循环移位法编码，若发现编码后仍有非法字　符，则在此基础上，可以采用微调法对出现的非法字符进行　调整，使得最终编码后的ｓｈｅｌｌｃｏｄｅ符合要求。　１．３　ｓｈｅｌｉｃｏｄｅ定位　ｓｈｅｌｌｃｏｄｅ的定位是漏洞利用中最关键的一步，只有正确　定位ｓｈｅｌｌｃｏｄｅ才能使ｓｈｅｌｌｃｏｄｅ顺利被执行。关于ｓｈｅｌｌｃｏｄｅ　的定位方法，可以归纳为如下３种：　（１）直接定位　将ｓｈｅｌｌｃｏｄｅ释放到固定的地址空问中，然后利用漏洞直　接跳转到此处继续执行。　（２）跳转定位　当ｓｈｅｌｌｃｏｄｅ的位置与某个寄存器值相关或者与栈中的某　

个值相关时，可以采用跳转定位法。比如，将ｓｈｅｌｌｃｏｄｅ存放　到栈中，利用栈溢出漏洞来执行时，可以这样组织缓冲区结　构：ＮＮＮＮＮＲｓｓｓｓｓ（Ｎ：填充数据，如ｈｏｐ、Ｒ：函数返回地　址，ｓ：编写的ｓｈｅｌｌｃｏｄｅ）。当函数返回时，发现ｅｓｐ寄存器指　向ｓｈｅｌｌｃｏｄｅ的起始位置。如果采用Ｊｍｐ　ｅｓｐ指令的地址覆盖　函数返回地址，当函数返回时，会执行ｊｍｐ　ｅｓｐ指令，就会　跳转到ｓｈｅｌｌｃｏｄｅ处开始执行。这种方法经常被使用，而且能　够准确定位到ｓｈｅｌｌｃｏｄｅ，使得ｓｈｅｌｌｃｏｄｅ顺利执行。　（３）模糊定位　在某些漏洞利用过程中，栈与堆的地址空问总是在不断　变化，因此，很难准确定位到ｓｈｅｌｌｃｏｄｅ位置，此时可以采用　模糊定位法，即在ｓｈｅｌｌｃｏｄｅ前面增加ｈｏｐ指令，扩大定位的　范围。定位步骤如下：　首先，在堆中申请大块的存储空问。　然后，填充构造的数据为“ｐａｙｌｏａｄ十ｓｈｅ儿ｃｏｄｅ”。如：利　用Ｏｃ和ｓｈｅｌｌｃｏｄｅ填充区域，此时，０ｘ０ｃ０ｃ０ｃ０ｃ的地址的内　容也是０ｃ０ｃ０ｃ０ｃ，而０ｃ这个指令正好是双字节指令：　０ｃ０ｃ０ｃ０ｃ　０ｃ　０ｃ　０１＂ａｌ，０ｃ　０ｃ０ｃ０ｃ０ｅ　０ｃ　０ｃ　ｏｒ　ａｌ，０ｃ　且对寄存器影响最小，可以起到ｎｏｐ的作用。　最后，将ｅｉｐ指向了ＯｘＯｃＯｃＯｃＯｃ这个地址，就会一直在　这块内存中执行下去，直到执行ｓｈｅｌｌｃｏｄｅ。　１．４　ｓｈｅｌｌｃｏｄｅ实倒分析　下面以ｍｓ０６—０２７漏洞为例，分析ｓｈｅｌｌｃｏｄｅ的具体运用　过程。触发漏洞后，各个寄存器情况如图２所示。　錾翻　整　整．ｔ　Ｅ艋　Ｄｗ０ＲＤ　Ｐｎ　Ｄｓ【Ｅ＾】鍪誊０．ｉ．．－【＋８】鏊＝　　嘲Ｅ瓣　黼鞣　豁漤牲１。，　ＰｌＩｓＭ　Ｅ＾）【　鞴ＤＷＯＫＤｗＲ　ＤＳ［ＥＣＸ＋ｔ４］　ＩＮｃ　ＥＢＩ　ｃＩｌＰ　ＥＤＩ　ＥＢＸ　ＪＬ　Ｓｉｌｏｌ【ｒ吡珊０柚３０】Ｂ矾２２　ＰＯＰ助Ｉ　图２　ｍｓ０６－０２７鼍涓麓发后寄存器状杏　经过分析可知，ｅａｘ中的数据可以被攻击者控制，从而　ｅｃｘ中的数据可被控制，那么在执行ｃａｌｌ　ｄｗｏｒｄ　ｐｔｒ　ｄｓ：［ｅｃｘ＋１４】　指令时，即可稳定跳转到存放ｓｈｅｌｌｃｏｄｅ位置，继续分析　ｓｈｅｌｌｃｏｄｅ，ｓｈｅｌｌｃｏｄｅ的起始代码如图３所示。　图３　ｓｈｅｌｌｃｏｄｅ起始代码　从图３可见，ｓｈｅｌｌｃｏｄｅ采用了异或进行编码，同时ｏｌｌｙｄｂｇ　将编码后的ｓｈｅｌｌｃｏｄｅ反汇编成特权指令，将编码后的　ｓｈｅｌｌｃｏｄｅ在几种流行杀毒软件中进行测试，结果如表１所示。　表１　ｓｈｅｌｌｃｏｄｅ编码酋后对比　可见攻击者如果对ｓｈｅｌｌｃｏｄｅ进行编码可以使ｓｈｅｌｌｃｏｄｅ　有效突破各种杀毒软件的防护。　２　ｓｈｅｌｌｃｏｄｅ防范　２．１　ＡＳＬＲ保护机制　ｓｈｅｌｌｃｏｄｅ一般通过查找ｋｅｒｎｅｌ３２．ｄｌｌ的基址取得　ＧｅｔＰｒｏｃＡｄｄｒｅｓｓ和ＬｏａｄＬｉｂｒａｒｙ这２个ＡＰＩ函数，进而获得所　需要的其他函数。如果加载的动态链接库是随机存放在系统　中，那么ｓｈｅｌｌｃｏｄｅ将无法实现其功能，可以有效防范ｓｈｅｌｌｃｏｄｅ　的执行。　基于这种思想，微软的ＡＳＬＲ保护机制将ｄｌ１进行随机加　载。主要实现方法是采用一ＭｉｌｍａｇｅＢｉｔＭａｐ函数处理一个全局　位图，位图的每一位代表６４　ＫＢ，一个ｄ“被加载的位置在位　图中会做相应的标记。　当ｄｌ】中有ＩＭＡＧＥ＿ＤＬＬｃＨＡＲＡＣＴＥＲ１ＳＴＩＣＳ＿ＤＹＮＡＭＩＣ＿　ＢＡＳＥ标志时，系统通过ＭｉｓｅｌｅｃｔＩｍａｇｅＢａｓｅ函数实现ｄ１ｌ随机　加载，具体实现过程如图４所示。　图４　ＭｉＳｅｌｅｃｔｌｍａｇｅＢａｓｅ函敦实现漉程　ＭｉｓｅｌｅｃｔＩｍａｇｅＢａｓｅ函数中使用的ＭｉｌｍａｇｅＢｉａｓ是一个随　机生成的８位数值，表示距离ＭｉｌｍａｇｅＢｉｔＭａｐ位图开始的偏　移，所以，ＭｉｌｍａｇｅＢｉａｓ有多达２５６种取值，使得ｄｌＩ加载随　机化。在Ｖｉｓｔａ系统中采用ＡＳＬＲ技术，实现ｄｌ１的地址随机　化，因此，ｓｈｅｌｌｃｏｄｅ不能准确找到ｋｅｒｎｅｌ３２．ｄｌｌ的加载地址。　这种对ｄｌｌ随机加载的方法，可以有效防范ｓｈｅｌｌｃｏｄｅ的执行。　对使用ＡＳＬＲ保护机制前后，ｓｈｅｌｌｃｏｄｅ执行情况如表２　所示。　表２各种编码的ｓｈｅｌｌｅｏｄｅ执行对比的情况　经研究发现，ＡＳＬＲ机制在大部分情况下，能很好地阻　止ｓｈｅｌｌｃｏｄｅ执行，但是由于系统ｄｌ１只对基址的８　ｂｉｔ进行了　随机化　，攻击者尝试２　次后可以得到正确的地址。如果对　基址实现１６　ｂｉｔ随机化，将会使得攻击者更加困难找到ｄｌ】　基址，大大提高安全等级。　（下转第１６８页）　１６５～　

蒙板中，边界附近的细节都很好地体现了出来；山于本方法　些应用ｌＬＩ－ｌ能　受到限制。　同时考虑了图像的空间信息，在前背景颜色相似处的边界附　下‘一　１鼍号虑更复杂的前背景分离模型，使其能适应各　近很大程度地减少了歧义，从而可得到相对较好的前景蒙板。　种图像；对算法进行优化，使算法的运行速度更快；充分利　用多值深度图像，以得到多层次的前背景分离结果。　一日　参考文献　ｉ１］Ｓｍｉｔｈ　Ａ，Ｂｌｉｎｎ　Ｊ．Ｂｌｕｅ　Ｓｃｒｅｅｎ　Ｍａｔｔｉｎｇ［Ｃ］／／Ｐｒｃｏｅｅｄｉｎｇｓ　ｏｆ　ＳＩＧＧＲＡＰＨ’９６．Ｎｅｗ　Ｏｒｌｅａｎｓ，ＬＡ，ＵＳＡ：ＩＥＥＥ　Ｐｒｅｓｓ，１９９６：　２５９—２６８　１２］Ｑｉａｎ　Ｒ　Ｊ，Ｓｅｚａｎ　Ｍ　Ｉ．Ｖｉｄｅｏ　Ｂａｃｋｇｒｏｕｎｄ　Ｒｅｐｌａｃｅｍｅｎｔ　Ｗｉｔｈｏｕｔ　ａ　Ｂｌｕｅ　Ｓｃｒｅｅｎ［Ｃ］／／Ｐｒｏｃｅｅｄｉｎｇｓ　ｏｆ　１９９９　Ｉｎｔｅｒｎａｔｉｏｎａｌ　Ｃｏｎｆｅｒｅｎｃｅ　ｏｎ　（ａ）输入图像　（ｂ）深度图像　Ｉｍａｇｅ　Ｐｒｏｃｅｓｓｉｎｇ．Ｋｏｂｅ，Ｊａｐａｎ：Ｉｓ．ｎ．】，１９９９：１４３—１４６．　圈Ｈ　ｎ　【３】Ｃｈｕａｎｇ　Ｙｕｎｇｙｕ，Ｃｕｒｌｅｓｓ　Ｂ，Ｓａｌｅｓｉｎ　Ｄ，ｅｔ　１ａ．Ａ　Ｂａｙｅｓｉａｎ　Ａｐｐｒｏａｃｈ　ｔｏ　Ｄｉｇｉｔａｌ　Ｍａｔｔｉｎｇ［Ｃ］／／Ｐｒｏｃｅｅｄｉｎｇｓ　ｏｆ　２００１　Ｃｏｍｐｕｔｅｒ　Ｓｏｃｉｅｔｙ　Ｃｏｎｆｅｒｅｎｃｅ　ｏｎ　Ｃｏｍｐｕｔｅｒ　Ｖｉｓｉｏｎ　ａｎｄ　Ｐａｔｔｅｒｎ　Ｒｅｃｏｇｎｉｔｉｏｎ．Ｋａｕａｉ，　ＵＳＡ：ＩＥＥＥ　Ｐｒｅｓｓ，２００１：２６４—２７１．　１４１　Ｌｅｖｉｎ　Ａ，Ｌｉｓｃｈｉｎｓｋｉ　Ｄ，Ｗｅｉｓｓ　Ｙ．Ａ　Ｃｌｏｓｅｄ　Ｆｏｒｍ　Ｓｏｌｕｔｉｏｆｉ　ｔｏ　Ｎａｔｕｒａｌ　Ｉｍａｇｅ　Ｍａｔｔｉｎｇ［Ｃ］／／Ｐｒｏｃｅｅｄｉｎｇｓ　ｏｆ　２００６　Ｃｏｍｐｕｔｅｒ　Ｓｏｃｉｅｔｙ　Ｃｏｎｆｅｒｅｎｃｅ　ｏｎ　Ｃｏｍｐｕｔｅｒ　Ｖｉｓｉｏｎ　ａｎｄ　Ｐａｔｔｅｒｎ　Ｒｅｃｏｇｎｉｉｔｏｎ．Ｎｅｗ　Ｙｏｉ＇ｋ，　（ｃ）文献［３】方法　（ｄ）文献【４１方法　（ｅ）本文方法　ＵＳＡ　ＩＥＥＥ　Ｐｒｅｓｓ，２００６：６　１－６８．　的前景蒙板　的前景蒙板　的前景蒙板　圈１各种酋背景分离方法的结果比较　［５１　Ｌｅｖｉｎ　Ａ，Ｒａｖ—Ａｃｈａ　Ａ，Ｌｉｓｃｈｉｎｓｋｉ　Ｄ．Ｓｐｅｃｔｒａｌ　Ｍａｔｔｉｎｇ［Ｃ］／／　Ｐｒｏｃｅｅｄｉｎｇｓ　ｏｆ　２００７　Ｃｏｍｐｕｔｅｒ　Ｓｏｃｉｅｔｙ　Ｃｏｎｆｅｒｅｎｃｅ　ｏｎ　Ｃｏｍｐｕｔｅｒ　５结束语　Ｖｉｓｉｏｎ　ａｎｄ　Ｐａｔｔｅｒｎ　Ｒｅｃｏｇｎｉｔｉｏｎ．Ｍｉｎｎｅａｐｏｌｉｓ，ＵＳＡ：ＩＥＥＥ　Ｐｒｅｓｓ，　本文的模型对图像的前景图像和背景图像有局部平滑性　２００７：１－８．　的假设，虽然对于绝大多数自然图像而言都是成立的，但不　【６】Ｏｌｉｖｅｒ　ｗ，Ｆｉｎｇｅｒ　Ｊ，Ｙａｎｇ　Ｑｉｎ，ｅｔ　ａ１．Ａｕｔｏｍａｔｉｃ　Ｎａｔｕｒａｌ　Ｖｉｄｅｏ　排除一些特例可能得不到较好的结果。该模型虽然能够得到　Ｍａｔｔｉｎｇ　ｗｉｔｈ　Ｄｅｐｔｈ［Ｃｌ／／Ｐｒｏｃｅｅｄｉｎｇｓ　ｏｆ　ｔｈｅ　１５ｔｈ　Ｐａｃｉｉｆｃ　Ｃｏｎｆｅｒｅｎｃｅ　比较令人满意的前景蒙板，但是其代价函数和优化算法比较　ｏｎ　Ｃｏｍｐｕｔｅｒ　Ｇｒａｐｈｉｃｓ　ａｎｄ　Ａｐｐｌｉｃａｔｉｏｎｓ．Ｍａｕｉ，ＵＳＡ：ＩＥＥＥ　Ｐｒｅｓｓ，　复杂，在运行速度上相对其他前背景分离方法并没有特别的　２ｏ０７：４６９—４７２．　优势。另外，本文使用额外的硬件设备得到深度图像，在一　编辑张正兴　（上接第１６５页）　Ｗｉｎｄｏｗｓ各种版本中，提高了ｓｈｅｌｌｃｏｄｅ的通用性。同时对　２．２　ＧＳ保护机制　ｓｈｅｌｌｃｏｄｅ进行编码，可以使得ｓｈｅｌｌｃｏｄｅ突破很多限制条件。　栈溢出漏洞常常被ｓｈｅｌｌｃｏｄｅ所利用。经常利用ｊｍｐ　ｅｓｐ　在此基础上，如果可以准确定位到ｓｈｅｌｌｃｏｄｅ位置，那么　的地址覆盖函数的返回地址，跳转到ｓｈｅｌｌｃｏｄｅ继续执行，而　ｓｈｅｌｌｃｏｄｅ将可以顺利执行，实现相应功能。对各种ｓｈｅｌｌｃｏｄｅ　且这种定位ｓｈｅｌｌｃｏｄｅ的方法非常稳定。如果在函数返回前能　分析发现，大部分ｓｈｅｌｌｃｏｄｅ攻击过程都是采用此方法实现的。　判断出函数返回地址已经被修改，则可以进行错误处理，防　为了更好地防范ｓｈｅｌｌｃｏｄｅ，在系统中采用加载动态链接库随　止跳转到其他地址空间中取指执行，可有效地防止ｓｈｅｌｌｃｏｄｅ　机化，使得ｓｈｅｌｌｃｏｄｅ无法准确找到ｋｅｒｎｅｌ３２．ｄｌｌ等重要文件　执行。Ｖｉｓｕａｌ　ｃ＋＋．ＮＥＴ的ＧＳ安全编译选项就是一例　。　的加载基址。同时在栈中增加安全Ｃｏｏｋｉｅ，在函数返回时，　ＧＳ编译选项实现方法是在所有函数调用发生时，向栈帧　进行安全检查，使得在栈溢出中，ｓｈｅｌｌｃｏｄｅ不能被准确定位。　内压入一个称为“Ｓｅｃｕｒｉｔｙ　Ｃｏｏｋｉｅ”的随机ＤＷＯＲＤ，存放在　这些新安全技术配合各种杀毒软件使得ｓｈｅｌｌｃｏｄｅ执行更加困　ＥＢＰ之前。同时系统在数据区中存放了一个Ｓｅｃｕｒｉｔｙ　Ｃｏｏｋｉｅ　难，有效地遏制了病毒及木马的传播。　的副本。当栈中发生溢出时，Ｓｅｃｕｒｉｔｙ　Ｃｏｏｋｉｅ首先被淹没，　参考文献　然后ＥＢＰ和返回地址被淹没。在函数返回前，系统首先会比　【ｌ】王清．０ｄａｙ安全：软件漏洞分析技术【Ｍ】．北京：电子工业出版　较栈帧中存放的Ｓｅｃｕｒｉｔｙ　Ｃｏｏｋｉｅ与数据区中存放的副本是否　社，２００８．　相同，如果不同，说明发生栈溢出。此时，函数不会被正常　『２】Ｘｆｏｃｕｓ　Ｔｅａｍ．Ｓｈｅｌｌｃｏｄｅ编写技术［ＥＢ／ＯＬ］．（２００３—０８・３１）．ｈｔｔｐ：／／　返回，转到错误处理流程继续执行。所以，覆盖函数返回地　ＷＷＷ．ｘｆｏｃｕｓ．ｎｅｆｆａｒｔｉｃｌｅｓ／２００３０８／６０４．ｈｔｍ１．　址的方法作为跳转地址，已经无效，可以从根本上防止　ｆ３　Ｊ匿名．编写变形的ｓｈｅ１ｌｃｏｄｅ【ＥＢ，ＯＬ］．（２００８—０８—０５）．ｈｔｔｐ：／／ｗｗｗ．　ｓｈｅｌｌｃｏｄｅ被执行。　ｈａｃｋｅｒ．ｃｏｍ．ｃｎ／ａｒｔｉｃｌｅ／ｖｉｅｗ１４４０８．ｈｔｍ１．　需要注意的是只有Ｖｉｓｕａｌ　ｃ＋＋．ＮＥＴ以后的编译器才支　【４１王炜Ｑ版缓冲区溢出教程［ＥＢ／ＯＬ］．（２００８－０２—２６）．ｈｔｔｐ：／ｆｏｂｓ．　ｐｅｄｉｙ．ｃｏｒｒｄｓｈｏｗｔｈｒｅａｄ．ｐｈｐ？ｔ＝６０２５２＆ｔｃａｔｉｄ＝４２．　持这种保护机制，所以，软件开发商应该更新自己的编译软　件，开发更加安全的软件产品。　［５］Ｗｈｉｔｅｈｏｕｓｅ　Ｏ．Ａｎ　Ａｎａｌｙｓｉｓ　ｏｆ　Ａｄｄｒｅｓｓ　Ｓｐａｃｅ　Ｌａｙｏｕｔ　Ｒａｎ２　Ｄｏｍｉｚａｔｉｏｎ　ｏｎ　Ｗｉｎｄｏｗｓ　Ｖｉｓｔａ［Ｍ］．ＩＳ．１．】：Ｓｙｍａｎｔｅｃ，２００７．　３结束语　１６１　Ｗｈｉｔｅｈｏｕｓｅ　Ｏ．Ａｎａｌｙｓｉｓ　ｏｆ　ＧＳ　Ｐｒｏｔｅｃｔｉｏｎｓ　ｉｎ　Ｗｉｎｄｏｗｓ　Ｖｉｓｔａ［Ｍ１．　在Ｗｉｎｄｏｗｓ系统下，可以利用ＰＥＢ来查找ＡＰＩ地址，　【Ｓ　１．】：Ｓｙｍａｎｔｅｃ，２００７．　编写通用的ｓｈｅｌｌｃｏｄｅ。这样编写的ｓｈｅｌｌｃｏｄｅ可以运行在　编辑顾逸斐　～１６８～