2023年4月ChineseJournalofNetworkandInformationSecurityApril2023第9卷第2期网络与信息安全学报Vol.9No.2基于二进制重写的软件多样化方法何本伟,郭云飞,王亚文,王庆丰,扈红超(信息工程大学,河南郑州450001)摘要:软件多样化是应对代码重用攻击的有效方法,但现有软件多样化技术大多基于源代码实现,相比二进制文件,程序源代码并不容易获得。二进制文件难以做到精准拆卸、区分代码指针和数据常量,使得对二进制文件的多样化转换有限,难以产生足够高的随机化熵,容易被攻击者暴力破解。针对此问题,提出一种面向二进制文件的软件多样化方法,指令偏移随机化,该方法基于静态二进制重写技术在程序指令前以一定概率插入不同字节长度的无操作(NOP)指令,不仅能够减少程序中非预期的gadget数量,还使原指令地址发生随机偏移,打乱程序原有的内存布局,增加了代码重用攻击的成本。同时,针对所提方法设计了基于“热”代码的优化策略,通过动态插桩获得二进制文件中基本块的执行次数,以此调整每个基本块中NOP指令的插入概率,在执行频率更高的基本块中插入更少的NOP指令,可以保证较低性能开销的同时产生更高的随机化熵。实验部分使用SPEC基准测试程序,从性能开销、gadget存活率、文件大小等角度对优化后的方法进行实例测试,结果表明:当插入概率为15%时效果最好,程序中gadget平均存活率趋于稳定且小于1.49%,增加攻击者重复利用相同gadget攻击链攻击难度的同时,该安全性下仅额外增加了4.1%的运行开销和7.7%的文件膨胀率。关键词:软件多样化;二进制重写;NOP指令插入;代码重用攻击中图分类号:TP311.5文献标志码:ADOI:10.11959/j.issn.2096−109x.2023024SoftwarediversificationmethodbasedonbinaryrewritingHEBenwei,GUOYunfei,WANGYawen,WANGQingfeng,HUHongchaoInformationEngineeringUniversity,Zhengzhou450001,ChinaAbstract:Softwarediversityisaneffectivedefenseagainstcode-reuseattacks,butmostexistingsoftwarediversificationtechnologiesarebasedonsourcecode.Obtainingprogramsourcecodemaybedifficult,whilebinaryfilesarechallengingtodisassembleaccuratelyanddistinguishbetweencodepointersanddataconstants.Thismakesbinaryfilediversificationdifficulttogeneratehighlevelsofrandomizationentropy,andeasilycompromisedbyattackers.Toovercomethesechallenges,abinaryfileorientedsoftwarediversificationme...
