随着计算机技术的快速发展,计算机系统安全问题得到了越来越广泛的关注。与早期的注入代码型攻击相比,代码重用型攻击的攻击方式具有多样性和复杂性,因此给用户计算机系统安全带来了巨大威胁。代码重用型攻击不需要向漏洞程序注入自己的恶意代码,仅仅利用已有的函数库或可执行文件中的有用(合法)指令片段构造攻击,从而绕过了多种传统系统安全防护机制,如代码完整性保护,W⊕X防御等。代码重用型攻击需要两步来完成:(1)攻击者在已有合法代码中提取出可以利用的指令片段(这些指令片段被称为gadgets),并将这些指令片段通过特定的指令(如ret指令)串接起来;(2)篡改程序的某个控制数据,比如函数指针或函数返回地址,使程序跳转到攻击者精心选择的首个函数或指令片段处开始执行,从而达到攻击的目的。论文以动态二进制翻译器QEMU为平台,对代码重用型攻击做进一步的剖析研究。论文基于QEMU设计了一种对代码重用型攻击进行剖析的技术方案,该方案通过记录程序中的跳转指令,包括间接call指令和ret指令的自身地址及其目标跳转地址,使得在后续操作中当系统发生代码重用型攻击时,系统能够检测到攻击的发生,并剖析出跳转指令被篡改的目标跳转地址。本文的主要工作总结如下:1.深入研究了QEMU动态二进制翻译技术原理及其TCG(Tiny Code Generator)中间代码技术,针对QEMU以基本块作为翻译单位,并使用翻译缓存对翻译后的基本块进行缓存处理,论文设计了一种对代码重用型攻击进行剖析的技术方案。2.介入QEMU将源体系架构上的目标指令翻译成TCG中间微指令的过程,并基于QEMU以跳转指令作为基本块结束指令的特性,使得QEMU在翻译过程中能够识别出间接call指令和ret指令并对它们做出标记,从而记录间接call指令和ret指令的自身地址及其目标跳转地址。3.对于记录地址过程中出现遗漏的情形,论文详细分析了QEMU中的优化技术如翻译缓存、精确异常以及中断发生的情况,并针对这些优化技术,改进和完善了之前所设计的技术方案。4.论文基于改进的设计方案,通过对QEMU源代码进行修改,实现了一个原型系统,并对该系统进行了功能和性能测试。测试结果表明,当系统受到代码重用型攻击时,系统能够检测到攻击的发生,并能够记录和剖析出跳转指令被篡改的目标跳转地址。同时,性能测试结果表明,系统性能损耗较低,在可接受范围之内。