-pin-

基于pin的动态指令级别的插桩，通过对控制流跳转的分析，从而实现对控制流劫持类漏洞攻击的检测。在控制流劫持类漏洞中，一般是通过控制程序的跳转流程来实现对控制流的劫持。在X86的系统中，控制流指令主要有3类，分别是call 指令、ret指令和jmp指令。而这其中有一些是直接跳转，如跳转到某个固定的地址，因此是无法实现程序控制流的劫持，因此在分析时不需要进行分析。pin是intel出的一个动态插桩工具，支持指令插桩、基本快插桩、镜像级插桩和函数级的插桩。可以实现对指令、函数、基本快以及镜像的分析。在实现分析时利用了对指令的插桩和镜像级插桩。指令插桩则是分析三类影响程序控制流的指令，镜像插桩则是记录程序加载的模块信息、模块地址并且对特定的模块中的相关函数进行插桩。通过插桩分析，对控制流指令，通过检测跳转地址来判定是否是合法的。而ret指令则是通过建立模拟堆栈的形式来和正常的返回跳转进行比较而判断是否存在缓冲区溢出劫持。对一些利用SEH等方式来进行利用的漏洞，则是通过插桩kernel32.dll模块中的在处理异常时实现对SEH链表完整性的检测来实现。

Name		Name	Last commit message	Last commit date
Latest commit History 4 Commits
Debug		Debug
_UpgradeReport_Files		_UpgradeReport_Files
ipch/mypintool-439fbcfe		ipch/mypintool-439fbcfe
Image.cpp		Image.cpp
Image.h		Image.h
MyPinTool.cpp		MyPinTool.cpp
MyPinTool.sdf		MyPinTool.sdf
MyPinTool.sln		MyPinTool.sln
MyPinTool.sln.old		MyPinTool.sln.old
MyPinTool.suo		MyPinTool.suo
MyPinTool.v12.suo		MyPinTool.v12.suo
MyPinTool.vcproj		MyPinTool.vcproj
MyPinTool.vcproj.user		MyPinTool.vcproj.user
MyPinTool.vcxproj		MyPinTool.vcxproj
MyPinTool.vcxproj.filters		MyPinTool.vcxproj.filters
MyPinTool.vcxproj.user		MyPinTool.vcxproj.user
MyPinTool_row.cpp		MyPinTool_row.cpp
README.md		README.md
README1.md		README1.md
Thread.cpp		Thread.cpp
Thread.h		Thread.h
UpgradeLog.XML		UpgradeLog.XML
common.cpp		common.cpp
common.h		common.h
klist.cpp		klist.cpp
klist.h		klist.h
makefile		makefile
queue.cpp		queue.cpp
queue.h		queue.h
stack.cpp		stack.cpp
stack.h		stack.h
struct.h		struct.h

neoblackxt/-pin-

Folders and files

Latest commit

History

Repository files navigation

-pin-

About

Resources

Stars

Watchers

Forks

Languages