<正>現如今網絡中的攻擊形式更加多樣化,攻擊的對象不僅是針對于磁盤上的應用程序源文件,而是針對于應用程序中的內存映像,通過對其進行修改來達到攻擊的目的。程序的動態完整性度量能很好地對進程的完整性進行判斷,本文基于Open SSL采用靜態度量和動態度量相結合的方式有效地避免了TOC-TOU(Time of Check-Time of Use)問題,提高了度量結果的準確性。特別是對于正在執行中的程序的檢測有很好效果。

【文章頁數】：2 頁

【部分圖文】：

圖1 進程的內存結構

本文使用的完整性度量方法結合了靜態度量和動態度量，根據程序的基本結構、進程映射到內存的結構、攻擊內存的方法這些方面來確定度量對象。靜態度量對象為程序的源文件，是由于它們在系統運行的過程中保持不變，計算其度量結果相對簡單。通過研究Linux操作系統下的可執行文件（稱為ELF文件）映....

圖2 OpenSSL開源庫包

OpenSSL（蔡成杭，支持國產密碼算法的OpenSSL設計實現及應用[J].信息安全研究，2018,4(02):115-132）是一個涵蓋了大量哈希算法、加密算法、數字簽名、證書封裝機制的開源庫包，本文通過在官網上下載相應的安裝包，在Linux的操作系統中使用命令行工具，依據安....

圖3 動態攻擊過程

首先將可執行文件執行起來，由于自修改代碼技術會將重要代碼隱藏在ELF文件的非代碼段區域，在執行可執行文件后，會將存儲著重要代碼的的虛擬頁面的執行權限改為可執行。惡意進程就是利用了自修改代碼技術的這一點，獲取能修改存儲重要代碼的地址空間內容的權限，進而把重要代碼替換為能夠達到某種攻....

圖4 實驗過程

為了實現程序的動態完整性度量，本文采用OpenSSL1.1.0g版本，環境是Ubuntu，首先對加殼程序度量其SHA256值作為標準值，通過執行該程序，啟動程序自動脫殼來模擬惡意程序攻擊進程的代碼段過程，再次進行度量比對兩次哈希值結果。如果相同，則認為進程未被修改，反之則認為進程....

本文編號：4058845