影子堆栈将如何帮助阻止黑客湾？

修复黑客用来攻击系统的漏洞背后的漏洞很重要，但是防止攻击者利用这些漏洞并删除整个漏洞的技术更有效，或者至少使它们更加昂贵和耗时。

面向返回编程(ROP)是一种非常常见的技术，这种技术特别难以防范，因为攻击者并不是试图将自己的代码注入到正在运行的进程中(一些操作系统和浏览器已经添加了防御措施)，而是寻找一个已经包含“返回”合法代码的小块，在这个小块中，代码跳转到一个新的例程或返回到主线程。

微软操作系统安全总监Dave Weston告诉Tech Republic:“有了ROP，我无法创建新代码；我只能跳到不同的代码片段，并尝试将它们串成有效载荷。”如果合法代码有内存安全错误，如缓冲区溢出，损坏内存中的指针意味着系统开始运行攻击者自己的代码，而不是返回程序调用堆栈中的地址。

自2012年以来，微软一直在研究如何防止攻击者劫持此类程序中的控制进程。Windows增加了多级保护，从签署重要代码(代码完整性保护，或CIG)开始，首先在浏览器中阻止运行时代码的生成，然后在VM和内核中阻止运行时代码的生成(任意代码保护，或ACG)。

韦斯顿解释说：“目标是防止攻击者加载未经微软或我们的第三方之一签名的二进制文件；即使他们可以利用进程并在进程中获得内存损坏，他们也不能注入外壳代码或其他构造。”

郑重声明：本文版权归原作者所有。转载文章只是为了传播更多的信息。如果作者信息标注有误，请第一时间联系我们修改或删除。谢谢你。

标签：