基于L-Call的程序异常检测模型研究(2)


    为了描述方面,本文用PC代表下一条指定的地址,即PC寄存器中的内容,以R(x)表示函数x的返回地址。那么对第一个open,可以用R(main)→R(f1)→PC表示该系统调用发生时的位置,对第二个open,则用R(main)→R(f2)→PC来表示其调用位置。我们将这种表示称为“返回地址链”,尽管在返回地址链中的最后一项并不是函数的返回地址,而是下一条指令。利用返回地址链,可以区分同一个系统调用在不同位置的调用情况。
    上述做法还存在一个缺点:得到的每一个地址(包括返回地址和下一指令的内容)都是线性地址(即逻辑地址),它是由段地址和段内偏移量组成。直接使用逻辑地址可能会导致这样一种情况:系统在启动程序时,每一个段的初始地址可能不同,这样就导致了同一个系统调用在不同的运行过程中得到不同的逻辑地址,显然这不能直接用来识别系统调用。根据操作系统的设计可知,每一条指令所在段的起始地址可以不同,但是该指令相对于段起始地址的偏移量是固定的,因此可以使用“段名+段内偏移量” 的方式来代替逻辑地址。为了方便起见,事先给每一个段赋予一个唯一的ID,这样每一个逻辑地址就表示为SegmentID@Offset。
    为了能够将一个逻辑地址映射成上述表示,需要事先记录所有段的起始地址和终止地址(或者该段的大小),并保存在段地址映射表中。当遇到一个逻辑地址时,首先判断该逻辑地址在哪一个段中,然后计算出偏移量,这样就可以用该段的ID和偏移量来表示该地址。在段地址映射表中,每一项可简单地表示为:
    <StartAddress,EndAddress,SegmentName,SegmentID>
    2.L-Call的构造
    当发生一次系统调用时,通过访问系统堆栈就可以得到返回地址链,然后转变成与起始地址无关的形式,并用此来表示该系统调用的位置。图3则给出了系统调用位置信息的获取算法。
    GetLocation( ):获取系统调用时的位置信息
    输入:无
    输出:调用时的位置Location
    1 pEBP <-- GetCurrentEBP(); // 获取当前帧指针
    2 ReturnAddr[] <-- 0; // 清空存储空间
    3 i <-- 0;
    4 Location <-- NULL;
    /* 遍历堆栈 */
    5 do
    6 ReturnAddr[i++] <-- *(pEBP+4); // 获取返回地址
    7 pEBP <-- *(pEBP); // 获取下一帧的帧指针
    8 while pEBP ≠ STACK_BOTTOM ; // STACK_BOTTOM表示堆栈底部
    9 reverse ReturnAddr[]; // 将ReturnAddr倒序
    10 ReturnAddr[i++] <-- GetCurrentEIP(); // 获取EIP内容,即下一指令
    11 size <-- i;
    /* 将线性地址转变为 “段ID + 偏移量” 方式 */
    12 for i = 0 to size-1
    13 查找段地址映射表,将每一个地址转变为段ID和偏移量;
    14 Location += SegmentID@offset;
    15 endfor
    16 return Location;
    图3 获取系统调用位置信息算法   
    整个算法分为两个部分,第一部分是遍历堆栈获取返回地址链表,第二部分是将每一个返回地址转变为SegmentID@Offset这种格式。需要注意的是,在第一部分的遍历过程中,是从当前帧遍历到最底层帧,即帧顺序为N,N-1,…1,所以随后有一个倒序操作,最后加入下一指令的内容,即寄存器的内容。第二部分就只需要简单地查找段地址映射表,获取SegmentID和Offset。段地址映射表是在程序刚执行时就建立,每一项的格式如前面所示。这样,得到的位置表示为
    L:S1@O1-S2@O2…SN@ON (Si表示段i,Oi表示在该段的偏移量) 最后,将每一个位置的系统调用映射为一个新的事件,用一个唯一ID表示,也就是说不同位置的同一调用映射为不同的事件。例如:
    open@L1→e1
    open@L2→e2
    open@L3→e3
    为了描述方便,本文称这个新的事件为L-Call(System Call with Location),比如上面的、和。随后部分将通过分析L-Call来检测程序是否受到攻击。

(责任编辑:adminadmin2008)

分享到:

更多
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
表情:
  • 微笑/wx
  • 撇嘴/pz
  • 抓狂/zk
  • 流汗/lh
  • 大兵/db
  • 奋斗/fd
  • 疑问/yw
  • 晕/y
  • 偷笑/wx
  • 可爱/ka
  • 傲慢/am
  • 惊恐/jk
用户名: 验证码:点击我更换图片
资料下载专区
图文资讯

开源发家史:Linux在为谁代言?

开源发家史:Linux在为谁代言?

开源,也被称为开放源代码(Open Source) 开源(Open Source) 开源运动起源于20实际60年...[详细]

作为码农,我们为什么要写作

作为码农,我们为什么要写作

在程序员这个行业,坚持做技术写作的人一直比较少。我和身边的朋友沟通后,发现他们除...[详细]

键盘敲击识别技术真的靠谱吗?

键盘敲击识别技术真的靠谱吗?

所有人都知道密码是靠不住的。于是现在有一个有意思的行为生物识别是你是如何打字的,...[详细]

干货!企业安全产品采购指南

干货!企业安全产品采购指南

作为一个安全行业的客户,怎么知道什么样的技术、产品和服务将会满足自身的需求?本文...[详细]

作为程序员,你必须了解这些关于计算机的知

作为程序员,你必须了解这些关于计算机的知识

存储-块设备,文件系统,集群文件系统,分布式文件系统,光纤SCSI,iSCSI,RAID等。 ...[详细]

返回首页 返回顶部