[发明专利]用以禁止返回定向编程的动态执行阻止

说明书

本发明提供用以禁止返回定向编程的动态执行阻止。将存储器装置中的可执行代码的多个存储器页的第一子集的状态指示符设定为不可执行状态。将所述多个存储器页的第二子集的状态指示符设定为可执行状态，其中所述多个存储器页的所述第二子集包含到所述多个存储器页的所述第一子集中的函数的间接存根。在应用程序的执行后，即刻将函数调用引导到所述多个存储器页的所述第二子集中的对应间接存根，所述间接存根在引导来自所述多个存储器页的所述第一子集的被调用函数的执行之前修改所述多个存储器页的所述第一子集中的对应函数的所述状态指示符。

分案申请的相关信息

本案是分案申请。该分案的母案是申请日为2013年1月15日、申请号为201380005427.4、发明名称为“用以禁止返回定向编程的动态执行阻止”的发明专利申请案。

技术领域

一个特征大体上涉及禁止软件系统中的恶意代码的操作，且更特定来说涉及实施执行阻止且默认地将存储器页标记为不可执行以便减少可用于软件系统中的返回定向编程开发的指令数目的方法和装置。

背景技术

执行软件的计算系统正在经历增长的大量攻击。这些攻击经常将恶意代码插入计算系统中且随后致使计算系统执行恶意代码的方式。恶意代码可执行许多不同操作，例如致使计算系统运行得比正常慢，监视计算系统上的活动，致使计算系统发射或接收用户可能不希望传送的信息，破坏持续和非持续存储器中的数据，以及使计算系统崩溃。

最近已提出有时称为返回定向编程(ROP)开发的攻击机制。一类ROP开发经常称为返回到libc攻击(或返回到libc中攻击)。返回到libc(或返回到libc中)攻击可通过两个属性识别：(a)其使用驻留在许多软件系统中的标准C库，以及(b)其直接跳到libc函数的进入点而不是其内部。ROP开发是有力的技术，其允许攻击者开发软件程序中的有效代码序列而无需将任何新的恶意代码注入到处理器的地址空间中。通过开发一些错误或弱点，攻击可得到对将从其执行指令的下一存储器地址的控制。在一个实例中，这可通过覆写保存在堆栈上的返回地址而发生。举例来说，此攻击可利用缓冲器溢出来指定到堆栈上的合法代码块的返回地址，其在合法函数返回时具有所要的效果。攻击指令指针和 /或获得对下一存储器地址的控制的其它方式也是可能的。有效代码序列的小片断(经常称为小工具)可能被攻击者发现，随后串接在一起以形成新的恶意代码序列，进而避开针对代码注入的防御。

在传统ROP开发中，小代码片断是代码的以例如返回或跳转指令结束的部分。其它指令也可用作小工具终止指令。当调用函数时，在向经调用函数的返回的地址完成时，在所述调用之后的指令的地址被推送到堆栈上。因此，所述堆栈可包含许多返回地址，用于处理器跳转到经调用函数完成的时间。如果攻击可对堆栈写入信息，那么所述攻击可用恶意返回地址覆写既定返回地址。此返回地址可对应于由攻击识别的小工具中的一者。

通过操纵多个返回地址，控制调用堆栈的攻击可将多个小工具链接在一起以产生恶意代码序列，而从不需要将任何新代码注入处理器地址空间。通过这些恶意代码序列及其布置的选择，攻击可针对由小工具串组成的恶意程序而引起任意的行为。此类型的攻击是成功的，因为在大多数系统中代码和数据地址是可预测的。也就是说，攻击可在第一计算机中加载特定代码，检视第一计算机的堆栈以确定代码正如何加载，且当此代码加载在第二(目标)计算机中时使用此信息来开发返回堆栈。此攻击可大体上依赖于在不同计算机上以相同方式加载代码。

因此，需要可禁止返回定向编程攻击的稳健相应措施。

发明内容

本发明的实施例包含用于禁止开发堆栈和/或存储器中的脆弱性的设备、方法和计算机可读码。