0day动态检测之插桩下的ROP检测
近几年来APT越来越火了,那么针对APT攻击中很重要的一部分——0day攻击的检测方法,也不能落下.当然,检测0day的手段是多种多样的.然而,相对于传统的静态检测,动态检测更具准确性,更加具备捕获0day的能力.ROP技术旨在绕过DEP保护,是攻击者攻击利用的常用技巧.本文将阐述0day动态检测方法之一的ROP检测.该检测方法是通过二进制插桩的方式实现的,通过插桩的方式可以对程序代码流和数据流进行控制,在该ROP检测方法中可以根据ROP行为的特性定义相应的检测策略,从而在相应环境下触发ROP行为时可以将之检测到.
计算机网络 0day攻击 恶意代码 ROP检测
吴卓群 吴栋
杭州安恒安全研究院
国内会议
北京
中文
343-354
2015-09-28(万方平台首次上网日期,不代表论文的发表时间)