CN107330323A - 一种基于Pin工具的ROP及其变种攻击的动态检测方法 - Google Patents
一种基于Pin工具的ROP及其变种攻击的动态检测方法 Download PDFInfo
- Publication number
- CN107330323A CN107330323A CN201710556572.1A CN201710556572A CN107330323A CN 107330323 A CN107330323 A CN 107330323A CN 201710556572 A CN201710556572 A CN 201710556572A CN 107330323 A CN107330323 A CN 107330323A
- Authority
- CN
- China
- Prior art keywords
- instructed
- detection
- instructions
- rop
- jmp
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Debugging And Monitoring (AREA)
Abstract
属于攻击检测领域,本发明公开了一种基于Pin工具的ROP及其变种攻击的动态检测方法,步骤1:利用二进制Pin插桩工具启用目标程序;步骤2:跟踪所述目标程序,匹配ret指令、call指令与jmp指令;步骤3:若为ret指令,则利用基于ret指令的检测模块进行检测;若为call指令,则利用基于call指令的检测模块进行检测;若为jmp指令,则利用基于jmp指令的检测模块进行检测;步骤4:若检测模块检测出所述目标程序的异常,则发出攻击警报;否则跳转至步骤2;本发明能对ROP及其变种攻击进行动态检测,有很强的实用性和通用性。
Description
技术领域
本发明涉及一种针对ROP攻击的检测技术,特别是一种基于Pin工具的ROP及其变种攻击的动态检测方法,用于对ROP及其变种攻击进行检测。
背景技术
网络安全有很多类,例如:网络的物理安全、网络拓扑结构安全、网络系统安全、应用系统安全和网络管理的安全等。而本发明所涉及的是应用系统安全,计算机上运行的各类软件都是由人工编写,由于人的局限性,所编写的软件或多或少都存在漏洞。缓冲区溢出漏洞、堆溢出漏洞和本地提权漏洞仍然普遍存在,一旦这些漏洞被别有用心的人发现并加以利用,带来的危害不可小视。为了应对漏洞造成的危害,专家们提出并采取了各种保护措施来保护计算机,例如DEP(Data Execution Prevention,数据执行保护)、GS保护技术等。漏洞利用和漏洞防御是相互竞争关系,漏洞防御阻止了当前的漏洞利用,而攻击者又会提出新的技术绕过这些防御措施。漏洞防御和漏洞利用长时间处于被动与主动的状态,这一状态根据当前技术的发展状况会持续很久,或许会一直存在。
就缓冲区溢出攻击而言,在相当一段时间内给网络安全造成了巨大威胁。但是DEP和GS等保护措施提出后,传统的缓冲区溢出攻击事件大幅减少,但是这持续时间并没有存在多久,攻击者随后就提出了一种新的攻击方式ROP(面向返回导向的编程,Return-oriented Programming)。在2010年初,网络上出现了ROP的实际攻击的例子,攻击者利用Adobe Acrobat/Reader的一个0day漏洞,使用ROP攻击绕过了Windows系统的数据执行保护技术。而在2011年的温哥华Pwn2own黑客大会上,黑客利用ROP技术在很短时间内绕过了Windows 7的DEP和ASLR(Address space layout randomization)保护技术,并获得了该次黑客竞赛的冠军。近期,著名黑客网站Exploit Database发布了众多利用ROP攻击绕过Windows DEP和ASLR的shellcode,使得ROP技术越来越被人们重视,被认为是未来攻击系统的必须的技术和手段。
ROP攻击是一种基于代码复用技术的新型攻击,攻击者提取已有的动态库或可执行文件中的有用的指令片段,使多个指令片段组合在一起构成恶意代码。换言之,它通过使用系统内存中已经存在的二进制代码片段(gadget)来构造一个具有图灵完备性的攻击序列,可以绕过当前主流操作系统防范缓冲区溢出攻击的保护机制DEP,给计算机系统带来了极大的安全威胁。
自2007年Schacham提出ROP以来,其相关攻击技术发展迅速。ROP攻击最初是在32位的x86硬件平台的Linux软件平台上实现的,之后被证明可以在多种软硬件平台上实现;ROP的变种JOP(Jump-Oriented Programming)进一步丰富了ROP;构造ROP的自动化程度越来越高;ROP被用来构造各种攻击。因此提出一种有效的ROP攻击及其变种的检测技术,对于计算机的安全十分的重要。
从上面描述得知,ROP攻击不同于普通的缓冲区溢出攻击,它通过提取正常的指令片段构造恶意代码,这与普通的缓冲区溢出攻击有着本质的区别,同时这一特点也给ROP攻击的检测工作带来了巨大的挑战。ROP攻击检测引起了众多研究者的关注,虽然对ROP攻击的检测技术已经取得了许多成就,但是大多数检测方法都是针对RET指令,不使用RET指令的ROP变种可以绕过这些防御,比如pop-jmp和JOP。
发明内容
基于以上技术问题,本发明提供了一种基于Pin工具的ROP及其变种攻击的动态检测方法,旨在利用ROP及其变种攻击的共同特征作为检测基础,解决当前检测算法只能对单一类型的ROP攻击进行检测,同时检测效率低的技术问题。
本发明采用的技术方案如下:
一种基于Pin工具的ROP及其变种攻击的动态检测方法,包括以下步骤:
步骤1:利用二进制Pin插桩工具启用目标程序;
步骤2:跟踪所述目标程序,匹配ret指令、call指令与jmp指令;
步骤3:若为ret指令,则利用基于ret指令的检测模块进行检测;若为call指令,则利用基于call指令的检测模块进行检测;若为jmp指令,则利用基于jmp指令的检测模块进行检测;
步骤4:若检测模块检测出所述目标程序的异常,则发出攻击警报;否则跳转至步骤2。
进一步的,所述基于ret指令的检测模块的检测算法为:
S201:监控寄存器,提取ret指令跳转的目的地址;
S202:检测所述目的地址的前一指令是否为call指令,若为call指令跳转到S203执行,否则发出攻击警报;
S203:检测所述目的地址是否在在函数体内并且所述函数第一次被调用,若是则发出攻击警报,否则跳转到S204执行;
S204:设定检测指令的条数阈值和频数阈值,检测所述目标地址后条数阈值范围内的指令中是否有连续性的jmp指令、call指令和ret指令出现,若出现频数大于所述频数阈值则认为受到攻击并发出攻击警报,否则执行步骤2。
进一步的,所述基于call指令的检测模块的检测算法为:
检测call指令跳转的目的地址是否为函数的入口地址,若不是则发出攻击警报,否则执行步骤2。
进一步的,所述基于jmp指令的检测模块的检测算法为:
S401:检测jmp指令是否跨函数跳转,若是则跳转S402执行,否则执行步骤2;
S402:检测jmp指令跳转的位置是否在函数的中间位置,若是则发出攻击警报,否则执行步骤2。
综上所述,由于采用了上述技术方案,本发明的有益效果是:
利用ROP及其变种攻击的共同特征进行的检测,不仅能够对ROP攻击进行检测,还能对其变种进行检测,对网络安全防护具有很重大的意义。
将转移指令的行为特征与ROP及其变种攻击的共同特征结合,实现对ROP及其变种攻击的动态检测,克服了当前检测工具类型单一的缺点,部署方便,具有很强的实用性。
附图说明
图1是二进制插桩工具的整体架构;
图2是基于call指令的检测模块设计图;
图3是基于jmp指令的检测模块设计图;
图4是基于ret指令的检测模块设计图;
图5是动态链接库分析模块的结构图。
具体实施方式
本说明书中公开的所有特征,除了互相排斥的特征和/或步骤以外,均可以以任何方式组合。
下面结合附图对本发明作详细说明。
一种基于Pin工具的ROP及其变种攻击的动态检测方法,包括以下步骤:
步骤1:利用二进制Pin插桩工具(如图1)启用目标程序,具体为通过PIN.EXE加载PINTOOL.DLL,PINTOOL.DLL初始化完成后返回请求以启动目标程序;
步骤2:利用二进制Pin插桩工具跟踪所述目标程序,对ret指令、call指令与jmp指令进行匹配,所述二进制Pin插桩工具内包括动态链接库分析模块、动态监控模块、攻击检测模块;
所述二进制插桩工具Pin支持IA-32,Intel(R)64和Intel(R)许多集成核心架构的Android*,Linux*,OS X*和Windows*操作系统和可执行文件。Pin允许Pintool工具在可执行文件的任意位置中插入任意代码(C或C++编写)。插入的代码在可执行文件运行时动态添加,但是不改变可执行文件的原始结构,可以使得将二进制Pin插桩工具连接到已经运行的进程,所述目标程序为可执行文件。
步骤3:若为ret指令,则利用基于ret指令的检测模块(如图2)进行检测;若为call指令,则利用基于call指令的检测模块(如图3)进行检测;若为jmp指令,则利用基于jmp指令的检测模块(如图4)进行检测;
1、ROP及其变种攻击(“X”OP)中,所述ret指令的特征为:ret指令跳转的目的地址的前一条指令不是call指令;ret指令返回的位置在函数内部,且该函数是第一次被调用;ret指令在条数阈值内的出现频数会突然增加。
函数分为帧函数和非帧函数,由于编译器的优化,函数开始的特征序列会被优化掉,因此不能完全采用所述特征序列来判断call指令跳转的目的地址是否为函数的入口地址。
帧函数开始序列为:
pushebp
move ebp,esp
非帧函数开始序列:
sub$value,ebp
在所述目标程序执行前期,动态链接库分析模块(如图5)已分析出此执行文件调用的所有函数的起始地址和终止地址并存储在容器中,所述容器为缓存区。
则基于ret指令的检测模块的具体检测步骤为:
步骤(1):监控寄存器,提取ret指令跳转的目的地址;
步骤(2):检测所述目的地址的前一指令是否为call指令,若为call指令跳转到步骤(3)执行,否则发出攻击警报;
步骤(3):利用数据搜索模块对所述目的地址进行搜索,所述数据搜索模块包括第一缓存区和第二缓存区,所述一级缓存区用于存放近期使用过的函数信息,所述一级缓存区空间小,搜索数据的时间很快;所述二级缓存区用于存放所有的函数信息,所述一级缓存区空间大,采用RBtree数据结构对函数信息进行储存;所述一级缓存区用于减少搜索时间,提高系统的性能;在一级缓存区中搜索目的地址,若搜索到目的地址跳转到步骤(4),否则在二级缓存区搜索,搜索到目的地址后跳转到步骤步骤(4);
步骤(4):将搜索到的数据返回给攻击检测模块,所述攻击检测模块根据地址范围分析法,判断所述ret指令的返回地址是否是函数入口地址;若是函数入口地址,跳转至步骤(5);若不是函数入口地址并且所述返回地址是第一次进入该函数则发出ROP及其变种攻击警告;
步骤(5):设定检测指令的条数阈值和频数阈值,条数阈值为20,频数阈值为4,检测所述目标地址后20条指令中是否有连续性的jmp指令、call指令、ret指令出现,若出现频数大于4,则认为受到攻击并发出攻击警报,否则跳转至步骤2。
2、ROP及其变种攻击中,所述call指令的特征为:call指令调用的不是一个完整的子过程;call跳转的目的地址不是子过程的开始地址。
则基于call指令的检测模块的具体检测步骤为:
如果完全采用在容器中对call跳转的目的地址进行搜索匹配的方法,来判断所述目的地址是否为函数的起始地址会增加程序的检测时间。因此对call指令进行检测方式为:首先使用函数固定的特征序列与所述目的地址的前几条指令进行匹配,如果匹配成功,则认为call指令跳转的目的地址是函数的起始地址;否则根据预先存储在容器中的数据来判断call指令跳转到的目的地址是否在函数的起始地址。
(1)获取call指令跳转的目的地址,跳转到步骤(2);
(2)判断所述目的地址的前几条指令是否与函数的特征序列相匹配,若匹配成功,则把控制权移交给动态监控模块,所述动态监控模块用于跟踪程序指令流和识别指令类型,否则跳转到步骤(3);
(3)在一级缓存区中搜索目的地址,若搜索到目的地址则跳转到步骤(4);否则执行二级缓存区搜索,搜索到目的地址后跳转到步骤(4);
(4)把搜索到的数据返回给攻击检测模块,所述攻击检测模块根据地址范围比较法,判断目的地址是在函数范围内还是在函数入口地址。如果是函数的入口地址,把控制权移交给动态监控模块,跳转至步骤2;否则发出ROP及其变种攻击警告,并停止检测。
3、ROP及其变种攻击中,所述JMP指令的特征为:JMP指令跨函数跳转,跳转距离过大;跳转的目的地址不在函数的开始位置。
基于jmp指令的检测模块的具体检测步骤为:
(1)获取jmp跳转的目的地址和jmp指令的地址,跳转到步骤(2);
(2)首先在一级缓存区中搜索目的地址,若在一级缓存区搜索到相应的函数信息,跳转到步骤(3);否则执行二级缓存区搜索,并跳转到步骤(3);
(3)将搜索到的数据返回给攻击检测模块,所述攻击检测模块判断jmp指令的地址是否与跳转的目的地址在同一个函数内,如果在同一个函数内,则没有发生跨函数跳转并立即返回;否则根据地址范围比较法,判断所述跳转的目的地址是否是函数入口地址。如果是函数入口地址,跳转至步骤2;否则发出ROP及其变种攻击警告。
如上所述即为本发明的实施例。本发明不局限于上述实施方式,任何人应该得知在本发明的启示下做出的结构变化,凡是与本发明具有相同或相近的技术方案,均落入本发明的保护范围之内。
Claims (4)
1.一种基于Pin工具的ROP及其变种攻击的动态检测方法,其特征在于:包括以下步骤:
步骤1:利用二进制Pin插桩工具启用目标程序;
步骤2:跟踪所述目标程序,匹配ret指令、call指令与jmp指令;
步骤3:若为ret指令,则利用基于ret指令的检测模块进行检测;若为call指令,则利用基于call指令的检测模块进行检测;若为jmp指令,则利用基于jmp指令的检测模块进行检测;
步骤4:若检测模块检测出所述目标程序的异常,则发出攻击警报;否则跳转至步骤2。
2.根据权利要求1所述的一种基于Pin工具的ROP及其变种攻击的动态检测方法,其特征在于:所述基于ret指令的检测模块的检测算法为:
S201:监控寄存器,提取ret指令跳转的目的地址;
S202:检测所述目的地址的前一指令是否为call指令,若为call指令跳转到S203执行,否则发出攻击警报;
S203:检测所述目的地址是否在在函数体内并且所述函数第一次被调用,若是则发出攻击警报,否则跳转到S204执行;
S204:设定检测指令的条数阈值和频数阈值,检测所述目标地址后条数阈值范围内的指令中是否有连续性的jmp指令、call指令和ret指令出现,若出现频数大于所述频数阈值则认为受到攻击并发出攻击警报,否则执行步骤2。
3.根据权利要求1所述的一种基于Pin工具的ROP及其变种攻击的动态检测方法,其特征在于:所述基于call指令的检测模块的检测算法为:
检测call指令跳转的目的地址是否为函数的入口地址,若不是则发出攻击警报,否则执行步骤2。
4.根据权利要求1所述的一种基于Pin工具的ROP及其变种攻击的动态检测方法,其特征在于:所述基于jmp指令的检测模块的检测算法为:
S401:检测jmp指令是否跨函数跳转,若是则跳转S402执行,否则执行步骤2;
S402:检测jmp指令跳转的位置是否在函数的中间位置,若是则发出攻击警报,否则执行步骤2。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710556572.1A CN107330323B (zh) | 2017-07-10 | 2017-07-10 | 一种基于Pin工具的ROP及其变种攻击的动态检测方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710556572.1A CN107330323B (zh) | 2017-07-10 | 2017-07-10 | 一种基于Pin工具的ROP及其变种攻击的动态检测方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107330323A true CN107330323A (zh) | 2017-11-07 |
| CN107330323B CN107330323B (zh) | 2020-05-19 |
Family
ID=60196831
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710556572.1A Active CN107330323B (zh) | 2017-07-10 | 2017-07-10 | 一种基于Pin工具的ROP及其变种攻击的动态检测方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107330323B (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109002721A (zh) * | 2018-07-12 | 2018-12-14 | 南方电网科学研究院有限责任公司 | 一种信息安全漏洞的挖掘分析方法 |
| CN109766690A (zh) * | 2019-01-19 | 2019-05-17 | 北京工业大学 | 一种基于多策略指令检测的rop及变种攻击动态检测方法 |
| CN112199669A (zh) * | 2020-09-25 | 2021-01-08 | 杭州安恒信息技术股份有限公司 | 一种检测rop攻击的方法和装置 |
| CN112395603A (zh) * | 2019-08-15 | 2021-02-23 | 奇安信安全技术(珠海)有限公司 | 基于指令执行序列特征的漏洞攻击识别方法、装置及计算机设备 |
| CN114880665A (zh) * | 2022-05-12 | 2022-08-09 | 电子科技大学 | 一种针对面向返回编程攻击的智能化检测方法及装置 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102662830A (zh) * | 2012-03-20 | 2012-09-12 | 湖南大学 | 一种基于动态二进制翻译框架的代码复用攻击检测系统 |
| CN105138903A (zh) * | 2015-08-14 | 2015-12-09 | 电子科技大学 | 一种基于ret指令与jmp指令的rop攻击检测方法 |
| US10049211B1 (en) * | 2014-07-16 | 2018-08-14 | Bitdefender IPR Management Ltd. | Hardware-accelerated prevention of code reuse attacks |
-
2017
- 2017-07-10 CN CN201710556572.1A patent/CN107330323B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102662830A (zh) * | 2012-03-20 | 2012-09-12 | 湖南大学 | 一种基于动态二进制翻译框架的代码复用攻击检测系统 |
| US10049211B1 (en) * | 2014-07-16 | 2018-08-14 | Bitdefender IPR Management Ltd. | Hardware-accelerated prevention of code reuse attacks |
| CN105138903A (zh) * | 2015-08-14 | 2015-12-09 | 电子科技大学 | 一种基于ret指令与jmp指令的rop攻击检测方法 |
Non-Patent Citations (1)
| Title |
|---|
| 韩浩等: "针对ROP攻击的动态运行时检测系统", 《计算机工程》 * |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109002721A (zh) * | 2018-07-12 | 2018-12-14 | 南方电网科学研究院有限责任公司 | 一种信息安全漏洞的挖掘分析方法 |
| CN109002721B (zh) * | 2018-07-12 | 2022-04-08 | 南方电网科学研究院有限责任公司 | 一种信息安全漏洞的挖掘分析方法 |
| CN109766690A (zh) * | 2019-01-19 | 2019-05-17 | 北京工业大学 | 一种基于多策略指令检测的rop及变种攻击动态检测方法 |
| CN109766690B (zh) * | 2019-01-19 | 2021-01-08 | 北京工业大学 | 一种基于多策略指令检测的rop及变种攻击动态检测方法 |
| CN112395603A (zh) * | 2019-08-15 | 2021-02-23 | 奇安信安全技术(珠海)有限公司 | 基于指令执行序列特征的漏洞攻击识别方法、装置及计算机设备 |
| CN112395603B (zh) * | 2019-08-15 | 2023-09-05 | 奇安信安全技术(珠海)有限公司 | 基于指令执行序列特征的漏洞攻击识别方法、装置及计算机设备 |
| CN112199669A (zh) * | 2020-09-25 | 2021-01-08 | 杭州安恒信息技术股份有限公司 | 一种检测rop攻击的方法和装置 |
| CN112199669B (zh) * | 2020-09-25 | 2022-05-17 | 杭州安恒信息技术股份有限公司 | 一种检测rop攻击的方法和装置 |
| CN114880665A (zh) * | 2022-05-12 | 2022-08-09 | 电子科技大学 | 一种针对面向返回编程攻击的智能化检测方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107330323B (zh) | 2020-05-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107330323A (zh) | 一种基于Pin工具的ROP及其变种攻击的动态检测方法 | |
| Xu et al. | Spain: security patch analysis for binaries towards understanding the pain and pills | |
| US11113384B2 (en) | Stack overflow protection by monitoring addresses of a stack of multi-bit protection codes | |
| CN112800423B (zh) | 一种二进制代码授权漏洞检测方法 | |
| CN108090346A (zh) | 一种基于数据流监控的代码复用攻击防御方法及系统 | |
| CN105260659B (zh) | 一种基于qemu的内核级代码重用型攻击检测方法 | |
| CN105138903B (zh) | 一种基于ret指令与jmp指令的rop攻击检测方法 | |
| US20120030762A1 (en) | Functional patching/hooking detection and prevention | |
| CN102521542A (zh) | 一种计算机软件漏洞利用的捕获方法及系统 | |
| Wang et al. | {MetaSymploit}:{Day-One} Defense against Script-based Attacks with {Security-Enhanced} Symbolic Analysis | |
| Boudjema et al. | VYPER: Vulnerability detection in binary code | |
| Luo et al. | fASLR: Function-Based ASLR via TrustZone-M and MPU for Resource-Constrained IoT Systems | |
| WO2011002146A2 (ko) | 악성코드 탐지시스템 및 방법 | |
| Wang et al. | Tunter: assessing exploitability of vulnerabilities with taint-guided exploitable states exploration | |
| Liao et al. | Smartstate: Detecting state-reverting vulnerabilities in smart contracts via fine-grained state-dependency analysis | |
| US20140283060A1 (en) | Mitigating vulnerabilities associated with return-oriented programming | |
| Li et al. | GTFuzz: Guard token directed grey-box fuzzing | |
| CN106127054A (zh) | 一种面向智能设备控制指令的系统级安全防护方法 | |
| CN107545174B (zh) | 一种基于llvm的抵御控制流劫持的系统和方法 | |
| Ramesh et al. | Integrated malware analysis using markov based model in machine learning | |
| CN115168861A (zh) | 数据安全验证方法、装置、设备及存储介质 | |
| Zhou et al. | Hunting garbage collection related concurrency bugs through critical condition restoration | |
| KR101421630B1 (ko) | 코드 인젝션된 악성코드 탐지 시스템 및 방법 | |
| Wang et al. | A survey of return-oriented programming attack, defense and its benign use | |
| Zeng et al. | Heaptherapy+: Efficient handling of (almost) all heap vulnerabilities using targeted calling-context encoding |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |