ShellCode

摘要： 代码Shell化技术是一种实现程序从源码形态到二进制形态的程序变换技术.该技术可用于实现Shellcode生成,生成包括漏洞利用过程中的Shellcode及后渗透测试过程中的功能性Shellcode.文中形式化地描述了程序中代码与数据的关系,提出了一种基于LLVM(Low Level Virtual Machine)的通用程序变换方法,该方法可用于实现操作系统无关的代码Shell化.该技术通过构建代码内置全局数据表和添加动态重定位代码,将代码对数据的绝对内存地址访问转化为对代码内部全局数据表的相对地址访问,重构了代码与数据之间的引用关系,解决了代码执行过程中对操作系统重定位机制依赖的问题,使得生成的Shellcode代码具有位置无关特性.在验证实验中,使用适用于不同操作系统的不同规模的工程源码对基于该技术实现的Shellcode生成系统进行了功能测试,并对比了Shell化前后代码功能的一致性、文件大小、函数数量和运行时间,实验结果表明基于该技术的Shellcode生成系统功能正常,具有较好的兼容性和通用性.

摘要： 针对缓冲区溢出漏洞危害的广泛性和严重性,在研究缓冲区溢出漏洞原理的基础上,按照本地缓冲区溢出攻击和远程缓冲区溢出攻击2种方式分析了缓冲区溢出漏洞攻击方法,基于分析结果对2种溢出分别提出了缓冲区溢出漏洞的防范策略.实验证明:对于本地和远程缓冲区的防范策略可以有效解决缓冲区溢出漏洞带来的危害.

摘要： 黑客之所以能够针对目标程序进行溢出攻击,其根本原因在于计算机中的数据和代码没有明确区分的缘故。使用DEP（Data Execution Prevention,数据执行保护）技术,可以用来弥补计算机中数据和代码混淆这一根本问题。DEP的工作原理是将数据所在内存页（包括默认的堆页、各种堆栈页、内存池页等）标记为不可执行状态,这样即使非法溢出成功之后,当Shellcode代码试图在数据页面上执行指令时,CPU检测到在非执行区域执行指令时,将禁止其执行并抛出异常,并转入异常处理程序。

摘要： 随着计算机技术的飞速发展,软件的规模及复杂程度在快速增加的同时也带来了极大的安全隐患,各种软件漏洞层出不穷,漏洞利用成为研究的热点.在漏洞利用的过程中,shellcode作为最关键的组件,其质量直接影响到漏洞利用的效果.针对已有的shellcode自动构建方法存在兼容性低、对大型shellcode支持性较差、自动化程度及易用性较低的缺点,文章提出一种Windows shellcode自动构建方法.该方法通过编写框架提供编程接口和编程环境,使编写者通过C语言编写shellcode,并将shellcode的编译、生成、提取、测试以及编码和优化过程进行整合,实现x86/x64平台Windows shellcode的自动构建.文章对基于该方法实现的原型系统进行了验证,结果表明,系统在兼容性、可靠性、自动化性能方面均有较好表现,能够利用系统顺利完成shellcode的构建任务,具有较高的实际应用价值.

摘要： Instruction set randomization technology is a new type of defense technology that protects against code injection attacks by random transformation program instruction coding.The existing instruction set randomization technology also has some defects,such as large performance loss,mixed instruction and data can enhance the difficult of encoding.In order to solve these problems,a randomization technique based on compiler permutation was proposed.This technique reduces the number of randomization instructions without reducing the defense effect,and achieves the random replacement of the critical instruction in the compiling process,which improves the performance and coding accuracy of the instruction randomization.This paper designed and implemented compiled instruction randomization emulation based on compiling substitution and verified the effectiveness of the technique.%指令集随机化技术是一种通过随机变换程序指令编码来抵御代码注入攻击的新型防御技术.现有指令集随机化技术还存在一定缺陷,如性能损耗大、指令数据混杂造成的编码难等.针对这些问题,提出一种基于编译置换的指令随机化技术.该技术在不降低防御效果的同时减少了随机化指令的数量,并在编译过程中实现了关键指令的随机置换,提高了指令随机化的性能和编码精确度.设计并实现了一套基于编译置换的指令随机化原型系统,验证了该技术的有效性.

摘要： 缓冲区溢出是一种常见的网络安全漏洞,可以对计算机操作系统,应用软件造成巨大的威胁.通过缓冲区溢出攻击,网络黑客可以远程执行恶意代码,甚至获得主机的控制权,从而开始各种非法操作.该文分析了缓冲区溢出漏洞的产生原因及其原理,结合具体代码介绍了ShellCode的构造方法.

摘要： 文档类漏洞使用shellcode恶意代码来达成攻击目的.现有的检测取证技术依赖漏洞库和漏洞触发条件下的动态跟踪,对多态shellcode和0day检测效果不理想.文章提出一种静态虚拟代码执行取证方法,可以在不打开和不破坏文档的情况下检测恶意代码的存在与执行功能.该方法通过对文档格式的解析,建立静态代码模拟执行系统,可以有效对文档类漏洞进行取证分析.

摘要： 提出了一种基于动态模拟执行的shellcode分析与检测方法.该方法针对当前自修改和分段执行类shellcode的特点,建立动态行为映射模型严格刻画了shellcode模拟动态行为过程特征,给出了关于自修改和分段执行类shellcode的行为轨迹序列,然后设计了基于有限状态自动机的快速检测算法并实现了原型系统.实验结果表明,该方法能够有效检测当前自修改与分段执行类shellcode,并且与现有主流shellcode检测工具相比,可以达到较好的检测效果.

摘要： 本发明提供了一种基于对偶学习的shellcode代码和注释生成方法，包括以下步骤：(1)搜集来自shellstorm和Exploit Database的shellcode语料库；(2)将shellcode注释生成和shellcode代码生成这两个任务形式化为一个对偶学习问题，并通过为输入添加前缀来区分两个任务，使用浅层的Transformer进行同步学习，实现知识共享，提高训练模型的性能和泛化能力；(3)提出了一种改进自注意力计算的归一化方法Adjust_QKNorm，以使Transformer适应低资源任务；(4)提出一个基于规则的修复组件。本发明的有益效果为：有利于软件的开发和维护，生成的高质量注释和代码可以帮助提高开发人员的工作效率，进而提高软件质量。

摘要： 本发明提供了一种shellcode恶意执行的判定方法，所述方法包括：检测预设路径上的行为事件；当检测到所述行为事件时，则对当前线程进行堆栈回溯，以获取应用层的函数调用指令序列；根据所述函数调用指令序列，识别shellcode；及根据内存链判断所述shellcode是否恶意执行，所述内存链根据内存操作行为的合法性进行构建。本发明不依赖特征码识别shellcode，而是基于堆栈回溯来识别shellcode，可以有效地定性地识别shellcode，因此可适用于判定各种频繁多变的shellcode，亦不会将相近代码误认为shellcode。并通过内存链进一步判定shellcode是否恶意执行，可以防护未知漏洞的Shellcode攻击。可知，本发明为漏洞防护提供新的手段，提高设备安全防护的能力。

摘要： 根据本公开的实施例，提供一种检测shellcode执行的方法、装置、设备及存储介质，监控进程内存的申请和内存属性的改变，当申请的内存属性包含可执行属性或改变非可执行内存的内存属性包含可执行属性时，去除可执行属性，并记录对应的内存地址；shellcode执行时，出现异常，跳转至异常处理函数；在异常处理函数执行时，检测引起异常的指令的内存地址，当所述引起异常的指令的内存地址属于链表中记录的内存地址且不在所述进程的任何模块内时，终止所述进程或者将异常上报云端。该检测方式，在shellcode执行的第一时间就能检测，此时shellcode还没有执行成功，对计算机系统不会产生任何危害；该检测方式不依赖shellcode自身的任何特征，不限处理器平台和操作系统，具有普适性。

摘要： 本发明涉及一种基于页表条目的shellcode注入检测方法。本发明首先对计算机物理内存提取镜像文件；然后利用Volatility取证框架获取操作系统版本和配置文件信息；通过遍历进程PML4、页目录指针表、页目录表和页表的方式获取进程PTE；如果PTE中出现具有可执行权限的指标，那么对应页面作为可疑页面输出。本发明的shellcode注入检测方法能够有效检测进程内存中是否包含shellcode，辅助取证分析人员提取被感染系统中的恶意代码。

摘要： 本申请公开了一种shellcode的检测方法、装置、计算机设备及计算机非易失性可读存储介质，涉及信息网络安全技术领域，可以对操作系统内核、关键的特定内存页进行监控，能够及时检测出异常的操作行为，有效发现shellcode攻击行为的执行。所述方法包括：对预设内存页的操作行为进行监控；若发生预设内存页的操作行为，则对所述预设内存页的操作行为进行合法性判定，以检测shellcode执行的攻击行为是否发生。该方法适用于对shellcode的检测。

摘要： 本发明公开了一种shellcode控制流扁平化混淆方法,包括以下步骤：S1.对输入的shellcode进行反汇编，构建整个指令序列；S2.将指令序列以函数为单元划分，再将每个函数以基本块为单元划分出控制流图；S3.为每个函数构建有限状态自动机，输出基本块数据，并根据状态生成算法来决定基本块的执行顺序，清洗基本块内容；S4.将基于有限状态自动机的混淆代码与执行器重新编译完成混淆过程。本发明对指令序列进行基本块划分，以独立的上下文环境执行各个基本块，不需要对PE文件增加任何代码段即可有效的实现混淆。

摘要： 本申请公开了一种应用层shellcode的检测方法、装置、计算机设备及计算机存储介质，涉及信息网络安全技术领域，可以对操作系统应用层的特定内存页进行监控，能够及时检测出异常的操作行为，有效发现应用层shellcode攻击行为。所述方法包括：通过在shellcode执行攻击行为定位应用层关键动态链接库的路径上选取预设内存页，将所述预设内存页设置为指定属性；基于设置的指定属性，对应用模块所在预设内存页的操作行为进行监控；若发生对应用模块所在预设内存页的访问企图，则对访问行为进行合法性判定，以检测shellcode执行的攻击行为。

摘要： 本申请公开了一种内核层shellcode的检测方法、装置、计算机设备及计算机存储介质，涉及信息网络安全技术领域，可以对操作系统内核层的特定内存页进行监控，能够及时检测出异常的操作行为，有效发现内核层shellcode攻击行为的执行。所述方法包括：通过在shellcode执行的攻击行为定位内核层支持函数的路径上选取预设内存页，对所述预设内存页设置指定属性；基于设置的指定属性，对内核模块所在预设内存页的操作行为进行监控；若发生对内核模块所在预设内存页的操作行为，则对内核模块所在预设内存页的操作行为进行合法性判定，以检测shellcode执行的攻击行为。

摘要： 本申请公开了一种shellcode的检测方法、装置、计算机设备及计算机存储介质，涉及网络安全技术领域，利用CPU模拟执行技术与反汇编技术对代码程序进行检测，能够发现shellcode的攻击行为，提高计算机系统的安全性。所述方法包括：对待检测数据进行模拟执行分析，得到模拟执行的分析结果，所述分析结果包括基于模拟执行的执行步数进行风险标注的偏移地址；根据所述分析结果选取标注为风险的偏移地址，通过监控所述标注为风险的偏移地址的指令序列进行模拟执行分析过程中是否发生操作系统接口调用，输出shellcode的检测结果。

摘要： 本发明公开了一种shellcode编解码变形方法，利用随机数生成器产生随机整数G；采用加密算法对随机整数G进行计算得到加密密钥；利用加密密钥对shellcode进行加密得到shellcode密文C；根据网络协议特征构建网络协议，然后将随机整数G和密文C分别填充到网络协议的未使用载荷部分，并通过网络进行传输；在接收端对网络数据进行过滤并且提取随机整数G和密文C；采用加密算法对随机整数G进行计算得到解密密钥；利用解密密钥对密文C进行解密得到shellcode明文。本发明的编解码变形方法能够有效隐藏载荷信息，并且能够防止网络流量劫持分析，能够高效执行漏洞探测利用。