基于ARMv8架構gadget自動搜索框架

趙利軍　王震宇　王奕森　莊　寬

(信息工程大學數學工程與先進計算國家重點實驗室　河南 鄭州 450001)

?

基于ARMv8架構gadget自動搜索框架

趙利軍王震宇王奕森莊寬

(信息工程大學數學工程與先進計算國家重點實驗室河南 鄭州 450001)

摘要為了在ARM公司最新發布的首款支持64位處理器的ARMv8架構上實現ROP(Return_Oriented Programmig)技術，設計了ARMv8架構上的ROP gadget的自動搜索工具。通過結合ARMv8架構指令系統的特點，首先在庫文件搜索出所有的以RET指令結尾的短指令序列，并把這些指令序列存儲在gadget庫中，然后采用一些優化策略對該庫進行優化，最后根據用戶的輸入在庫中搜索到與用戶輸入功能相同的gadget鏈。通過對搜索工具搜索到的gadget的統計，結果表明gadget集具有圖靈完整性，可以執行任意的操作。最后通過一個實例證明了ROP在ARMv8架構上的可行性。

關鍵詞ROP指令序列自動搜索ARMv8圖靈完整性

0引言

數據執行保護和簽名等技術有效地阻止了代碼注入式攻擊。2005年Sebastian Krahmer等人提出了一種借用代碼攻擊方法，該方法不再需要向內存中注入惡意代碼，而是利用代碼段中的代碼實現攻擊。return-into-libc[1]技術是一種典型的借用代碼攻擊，通過劫持控制流，跳轉到C語言函數庫libc，復用libc中已有的函數。但是return-into-libc攻擊只能順序調用函數，不能實現圖靈完備的行為，如分支操作、循環操作等。

為了彌補return-into-libc攻擊的局限性， 2007年Hova Shacham[2]第一次提出了X86平臺上的返回導向編程技術ROP。返回導向編程攻擊的方式不再局限于將漏洞程序的控制流跳轉到庫函數中，而是利用庫函數或可執行文件的指令代碼片段實現攻擊，將復用的代碼粒度從return-to-libc的函數級別縮小到指令序列。 自2007年ROP概念被提出后，關于ROP攻擊的研究引起了研究人員的廣泛關注，他們先后在各個平臺上對ROP攻擊進行實驗。例如ARM平臺，SPARC平臺和AVR平臺。Tim Kornau[3]首次在ARM架構上實現了ROP攻擊并驗證了圖靈完整性，而且提出了一套基于REIL語言的自動構建ROP鏈的算法。2008年，Erik Buchanan[4]等人在SPARC平臺上驗證了ROP圖靈完整性。盧森堡大學的Ralf-Philipp Weinmann利用ROP技術實現了iOS系統的入侵[5]。

ROP技術至關重要的一環就是可用指令序列的自動搜索，本文中將這些指令序列定義為gadget。由于庫文件中的代碼的數量非常巨大，所以手工搜索gadget將會非常的耗時，這將嚴重降低ROP技術的效率。2011年，Edward J. Schwartz[6]等人提出了一種 X86 平臺上gadget 自動搜索算法，其定義了內部語言 QooL 來實現漏洞程序到 ROP payload 之間的轉換，但是其缺陷是定義的語義只有內存操作和邏輯操作，沒有涉及到條件執行和循環。然而這些技術只適用于X86架構，并不適用于其它架構，特別是RISC架構。2010年，Kornau 等人在ARM架構上實現一種基于中間語言 REIL 的 ARM gadget 自動搜索算法，首先該算法定位到分支指令，然后根據語法樹算法把一條指令翻譯成 REIL 語言，最后組合信息成為有用的gadgets。Edward J. Schwartz等人提出的自動構造ROP攻擊的框架Q是基于短指令序列的，不能繞過Ping Chen[7]等人的提出的防御機制。2014年，Chao Yang[8]等人在Schwartz基礎上提出了基于長指令序列的自動構造框架，成功地繞過了Ping Chen等人的防御機制。

ARMv8架構為了獲得低功耗高效率的64位計算優勢，引入了一個全新的指令字長為32位的64位指令集A64。上文論述的gadget搜索算法或是針對ARMv7架構，或是針對X86架構，并沒有解決ARMv8架構gadget搜索關鍵問題：(1) ARMv8 gadget的搜索。ARMv7中用于實現函數返回的BX lr指令在A64指令集中已經不復存在。A64指令集中，用于實現函數返回的指令為RET {Xm}(當Xm省略時默認使用X30)，ARMv7不存在該條指令。(2) ARMv8的圖靈完整性。為了支持ARMv8新的指令系統和技術特性，其運行支撐環境也發生了顯著的變化。新的動態鏈接庫中的gadget集是否具有圖靈完整性也需要重新考證。本文通過對X86架構下的gadget自動搜索算法的分析，結合ARMv8指令集的特征，設計了ARMv8架構下的gadget自動搜索工具，并利用搜索到的指令序列在ARMv8 linux中進行了實驗。

1ARMv8架構的差異性分析

ARMv8架構在指令集設置、寄存器使用和函數調用等方面和我們熟知的架構(X86，ARM)截然不同。ARMv8架構有兩種工作狀態-AArch64和AArch32。在這兩種工作狀態下指令集仍然都是32位的，但是指令的尋址范圍不同了：AArch64狀態下支持64bit的地址空間，AArch32狀態下支持32 bit的地址空間，且在每種工作狀態下ARMv8都有31個通用寄存器[9]。本文將主要對AArch64狀態下ARMV8架構的差異性。

1.1子函數調用規則

ARMv8架構摒棄了ARMv7架構下的7中工作模式-1個用戶模式和6個特權模式，ARMV8架構下采用4種工作模式EL0-EL3，EL0相當于用戶模式，下面我們將主要對非特權模式進行分析。

ARMv8架構下當發生子函數調用時，程序將PC中下一條指令的地址保存到寄存器X30中，然后跳轉到PC中的地址去執行，當函數返回時程序將會跳轉到X30寄存器中的地址處執行。當子函數的參數的個數不大于8個的時候，則參數由寄存器X0-X7進行參數傳遞，如果子函數的參數大于8個，則大于8個參數之外的參數通過棧進行傳遞。根據ARMv8架構的子函數的調用規則，在ARMv8架構中的寄存器分配規則如表1所示。

表1　函數調用時寄存器分配規則

從表1中可以看出ARMv7架構為15個通用寄存器，其中LR用來存放函數的返回地址，當函數重被調函數返回時從LR寄存器讀取返回地址跳轉到條用函數繼續執行。ARMv8架構下為31個通用寄存器，棧指針寄存器SP獨立于31個通用寄存器之外，其中X30相當于ARMv7架構下的LR寄存器，當函數返回時，程序將會跳轉到X30寄存器中的地址執行。

ARMv8架構下函數調用時的內存布局相比于ARM以前的版本有了較大的改變，函數調用時的棧結構如圖1所示。

圖1　函數調用棧的分布情況對比圖

左圖為ARMv7的情形。caller調用callee之前，棧指針位于sp1位置；進入callee后，將棧基址寄存器R11和程序鏈接寄存器LR分別壓棧，LR寄存器保存的是callee的返回地址。接著將棧指針減去一個常數(由編譯器根據具體情況而定)，假設其位于sp3位置。sp2-sp3之間的空間為callee的棧空間。

右圖為ARMv8的情形。caller調用callee之前，棧指針位于sp1位置；緊挨著sp1位置的兩個寄存器X29和X30分別存放的是caller棧基址和返回地址。進入callee函數后，首先會將棧指針減去一個常數(由編譯器根據具體情況而定)，假設位于sp2位置，然后將X29和X30寄存器分別壓棧，此時棧指針位于sp3位置，X30寄存器保存的是callee的返回地址；sp1-sp3之間的空間為callee的棧空間。

此外，ROP 技術必須要有方法將棧中的數據加載到寄存器X0-X7中。研究發現，ARMv8中使用LDP和LDR指令完成數據的出棧操作[10]。

LDR指令實現單數據的讀取，即從當前棧頂讀取一個數據加載到目的寄存器，其匯編指令格式為：LDR Xn,[sp],#offset，其含義是從當前棧頂讀取一個數據存儲到寄存器Xn，然后棧指針sp加上offset。

LDP完成寄存器組的讀取。其匯編指令格式為：LDP Xn,Xm,[sp],#offset，其含義是從當前棧頂連續讀取兩個數據依次存儲到寄存器Xn和Xm，然后棧指針sp加上offset。

1.2ARMv8架構分支指令

通過對ARMv8架構指令系統的研究[9]，總共有5類跳轉指令可以影響程序的執行流。其功能如表2所示，當處理器在AArch64位的工作狀態下時，表中的寄存器就寫成Xm，當工作在AArch32狀態下時寄存器就寫成Wm。

表2　ARMv8架構分支指令描述表

從表2中可以看出，ARMv8架構分支指令可以分成三大類：條件跳轉分支指令、非條件直接跳轉分支指令和非條件間接跳轉分支指令，其中條件跳轉分支指令和非條件直接跳轉分支指令的目標地址的偏移被編碼到指令的編碼中，不利于控制，所以本文不會使用以條件跳轉分支指令和非條件直接跳轉分支指令為結尾的指令序列。

ARMv8架構上的可用指令序列都是以支持寄存器間接跳轉指令為結尾的。從表2中可以看出，這些指令主要包括三類：BLR Xm、BR Xm和RET {Xm}。其中，ARMv8中BLR Xm和BR Xm主要用于分支跳轉或函數調用，BLR指令時需要將返回地址保存到寄存器X30中，而BR指令不需要將返回地址保存到寄存器X30中；RET {Xm}為函數返回指令，當Xm省略時默認使用X30。本文中主要搜索以RET {Xm}指令為結尾的指令序列。

2ARMv8 gadget自動搜索框架

本文中設計的搜索框架如圖2所示。其主要包括兩個部分；指令序列搜索模塊和gadget組合模塊。gadget搜索模塊完成庫文件中以RET指令為結尾的短指令序列的搜索。gadget組合模塊根據用戶的輸入在指令序列集中搜索到相應的gadget鏈。

圖2　ARMv8 gadget自動搜索框架

2.1gadget搜索模塊

gadget鏈是ROP技術最重要的一部分，所謂 gadget，是指在一個程序中能搜索到的具有某一特定功能的可用指令序列。該指令序列必須滿足一定的條件：

(1) gadget 中包含的指令條數通常很短，在個位數以內；

(2) gadget 的末尾都是一個跳轉指令；

(3) 每個 gadget 完成某一功能，如 mov/add/sub/and/neg等。

本文中的gadget搜索框架將主要搜索以RET指令結尾的指令序列。ARMv8架構下的RET指令和X86架構下的RET指令在指令編碼，指令語法等方面是完全不同的。ARMv8架構RET指令的編碼如圖3所示。

圖3　ARMv8 RET指令編碼格式

Xm為目的地址寄存器，理論上Xm可以為31個通用寄存器中的任意一個，但是通過統計本文發現ARMv8架構下Xm通常為X30寄存器。這樣RET {Xm}指令的編碼格式固定為“xc0x03x5fxd6”。所以本文的搜索算法將主要在目標二進制文件對特征碼“xc0x03x5fxd6”進行搜索。

當定位到分支指令之后，開始以分支指令開始逆向遍歷，其搜索算法如圖4所示，圖4給出的自動搜索算法遍歷庫文件或可執行文件的整個代碼段。算法的第4行通過對ARMv8架構ELF文件格式的分析，定位到代碼段。該算法的第一層循環用來搜索整個庫文件來定位分支指令，當搜索到“xc0x03x5fxd6”特征碼時用第二層循環開始逆向4字節遍歷，并把相應的指令保存到G.gadget_binary[]中，當完成一個指令流的搜索后，把該指令流的首地址保存到G.address中。當發生以下情況時算法停止搜索：① 當遇到返回指令RET時；② 當G.gadget_binary[]中的指令的條數大于搜索深度maxdepth時。

圖4　ARMv8 gadget自動搜索算法

算法中的maxdepth為用戶預先設置好的一個閾值，這個值的設置是必要的，且其值一般設置為個位數，本文中將其值設置為4。如果不設置閾值或者該值過大會給指令序列帶來巨大的邊界影響。算法的G結構定義如下：

typedef struct gadget_logic_struct

{

int address;

int gadget_binary[4];

其中address用來存儲每個指令序列的起始地址，gadget_binary[4]用來存儲指令序列，當指令序列的指令條數小于4時，使用NOP指令填充。經過上述算法可以得到所有的以RET分支指令結尾的gadget序列。

2.2gadget組合模塊

gadget組合模塊通過解析用戶的輸入，在指令序列集中搜索到與用戶輸入具有相同功能的gadget鏈。該模塊主要解決兩個問題。gadget序列的優化和寄存器沖突的解決。

2.2.1gadget序列的優化

本文的優化主要是針對棧指針寄存器SP偏移的優化。2.1節中搜索到的gadget集中存在很多功能相同，但是其棧指針SP的偏移卻是不同的短指令序列。例如gadget”add x3,x2,x5;ldr x30,[sp],#0x8;ret”和gadget”add x3,x2,x5;ldp x29,x30,[sp],#0x10; ret”，這兩個gadget完成的功能都是將寄存器X2和寄存器X5中內容相加，結果保存到寄存器X3中，但是第一個gadget中SP調整了8個字節，而第二個gadget中SP調整了16個字節，本文中將會保留第一個gadget。本文采用線性掃描方法進行解決。即gadget組合模塊從gadget集的開始位置遍歷整個gadget集，當遇到與用戶輸入具有相同功能的gadget，就保存該gadget中SP調整的大小，當遍歷結束時，選取那個SP調整最小的gadget作為gadget鏈中的一個。這樣在進行ROP攻擊時，會節省非常多的棧空間，提高了ROP攻擊的效率。本文中的方法雖然效率非常低，但非常有效。

2.2.2寄存器沖突的解決

寄存器沖突指存在兩個gadgets:G1和G2，G1存儲臨時數據到寄存器A，G2需要初始化寄存器A以完成相應的操作，G1和G2之間就存在寄存器沖突。本文的解決策略主要分成兩種情況:一種情況是如果一個寄存器被某個gadget無意的設置,而且該寄存器又同時被后面的一個gadget使用，并且在這兩個gadget之間沒有設置該寄存器的gadget，那么我們就需要這兩個gadget之間插入load gadget以消除寄存器沖突。例如“mov x1,[x2];mov x0,0xffff0983;ldr x30,[sp],#0x10;ret”和“mov x4,[x0];ldp x29,x30,[sp],#0x20;ret”這兩個gadget，第一個gadget的功能是設置X1的值，然而X0卻被該gadget無意的設置，而又同時在后一個gadget中被作為源寄存器使用，如果在他們之間沒有一個gadget對進行設置，我們就立即在前一個gadget后插入load gadget對X0寄存器進行更新；另一種情況是一個gadget對寄存器進行了初始化用來完成后面的計算，而該寄存器卻又被另一個gadget用于存儲臨時變量，這將影響該寄存器的正常使用，那么我們就在這兩個gadget之間增加一個store gadget以消除寄存器沖突。例如“mov x0,0x7fb724a568;ldp x29,x30,[sp],#0x10;ret”、“add x0,x2,x5;ldp x29,x30,[sp],#0x10;ret”這兩個gadget，第一個gadget將X0寄存器賦值為0x7fb724a568，該值被后面的gadget作為一個基址使用，但是第二個gadget卻將X0寄存器用來存儲寄存器X2和X5相加的臨時結果，那么我們就在這兩個gadget之間增加一個store gadget將一個gadget的結果首先存儲起來，等到使用時再取出。

3ARMv8 ROP實例

實驗環境： Linaro ARMv8 Linux，其版本號為Linux 3.6.0-1-Linaro-vexpress64。Linaro是ARM公司授權商，其為ARMv8開發的工具鏈和快速模型虛擬平臺能從ARM官網下載[11]。

為了盡快使企業脫貧，林洋本著精準扶貧的理念，充分利用國家出臺的各項農業扶持政策，大力推進農業項目建設。近3年來，先后建成年產300萬標準食用菌菌袋扶貧開發項目，食用菌種植推廣項目，小型農田水利補貼項目，大棚種植冬棗項目等。這些農業項目已收到了良好的社會效益和經濟效益，本單位職工及周邊農村上百人在項目推廣中受益脫貧，群眾紛紛點贊，稱林洋是“帶領群眾脫貧的引路人”。2017年，云城乳業被市國資委評為“項目推進先進單位”。

本節將給出Linaro ARMv8 Linux上實現的ROP實例。該實例的ROP shellcode欲實現的功能是通過復用libc.so.6中的write函數在終端輸出字符串”ARMv8 exploit”，然后復用libc.so.6中的exit函數使程序離開。

3.1gadget鏈

根據用戶的目的，工具搜索到了以下三個gadget，這3個gadget來自ARMv8常用的libc.so.6或ld-linux-aarch64.so.1庫文件。gadget(1)用于從內存加載數據到寄存器X0；gadget(2)從內存中連續讀取4個數據依次放入寄存器X1、X2、X3和X4；gadget(3)完成write系統調用，指令”mov x8, #0x40”將write的系統調用號0x40加載到寄存器X8，指令”ldr x30,[sp],#10”將write系統調用后的程序執行的目的地址加載到寄存器X30。

0x7fb7f4c4e4 F84107E0 ldr x0,[sp],#0x10

0x7fb7f4c4e8 F84107FE ldr x30,[sp],#0x10

0x7fb7f4c4ec D65F03C0 ret

gadget(1)

0x7fb7fe835c A8C10BE1 ldp x1,x2,[sp],#0x10

0x7fb7fe8360 A8C113E3 ldp x3,x4,[sp],#0x10

0x7fb7fe8364 A8C27BFD ldp x29, x30, [sp], #0x20

0x7fb7fe8368 D65F03C0 ret

gadget(2)

0x7fb7f65c64 D2800808 mov x8, #0x40

0x7fb7f65c68 D4000001 svc #0

0x7fb7f65c6c F84027FE ldr x30,[sp],#0x10

0x7fb7f65c70 D65F03C0 ret

gadget(3)

通過對上面gadget鏈的分析，生成的ARMv8 ROP shellcode內容如下：

char shellcode[]=″x41x41x41x41x41x41x41x41x41x41x41x41x41x41x41x41″″x41x41x41x41x41x41x41x41xe4xc4xf4xb7x7fx00x00x00″″x00x00x00x00x00x00x00x00x41x41x41x41x41x41x41x41″″x5cx83xfexb7x7f x00x00x00x41x41x41x41x41x41x41x41″″x41x41x41x41x41x41x41x41xd0xc4xf4xb7x7f x00x00x00″″x41x41x41x41x41x41x41x41x41x41x41x41x41x41x41x41″″x41x41x41x41x41x41x41x41x41x41x41x41x41x41x41x41″″x50xfcxffxffx7fx00x00x00x0dx00x00x00x00x00x00x00″″x41x41x41x41x41x41x41x41x41x41x41x41x41x41x41x41″″x41x41x41x41x41x41x41x41x41x41x41x41x41x41x41x41″″ARMv8 exploit；

3.2ROP執行流

ROP shellcode對應的內存布局及工作原理如圖5所示。圖的左側給出ROP的內存安排和內存地址的后12位，圖的右側的虛線代表指令序列的執行順序。

通過一次漏洞利用，將返回地址用gadget(1)的返回地址改寫，程序返回時將會跳轉到本文設定的指令序列，程序依次執行gadget(1)和gadget(2)，在gadget(1)和gadget(2)執行完畢之后X0、X1和X2三個寄存器已經被設置為write系統調用所需要的三個參數，gadget(3)將write系統調用號0x40傳遞給寄存器0x40，然后執行write系統調用在終端輸出字符串”ARMV8 exploit”，通過控制write系統調用的返回地址，write系統調用執行完畢后程序將會跳轉到gadget(1)執行，gadget(1)將exit系統調用的參數和入口地址分別傳遞給寄存器X0和X30，最后通過執行exit系統調用使程序離開。在內存中，本文沒有用到的閑置內存全部用字符A填充。

圖5　ROP攻擊實例原理圖

4實驗結果評估

本文利用該工具在Linaro ARMv8 Linux 常用的庫文件libc.so.6和ld-linux-aarch64.so.1中進行搜索，實驗結果如下所示。

libc.so.6庫文件中搜索深度為4的部分搜索結果。

ld-linux-aarch64.so.1庫文件中搜索深度為4的部分搜索結果。

通過利用搜索到的結果統計出以RET指令結尾的gadget的數目如表3所示。

表3　gadget統計結果

Erik Buchanan[12]等人首次在X86架構上對gadget的圖靈完整性進行了證明，如果一個gadget集可以滿足基本的賦值操作、算術和邏輯運算、控制流和函數調用四個條件，那么該gadget集就是圖靈完整的，可以執行任何操作。通過統計，本文中搜索工具搜索到的gadget同樣可以滿足上面四個條件，因此本文工具搜索到的gadget也是圖靈完備的，可以執行任意的操作。

5結語

為了實現ARMv8架構上的ROP技術，本文首次提出了ARMv8上ROP gadget自動搜索的框架，它首先在庫文件搜索出所有的以RET指令結尾的短指令序列，并把這些指令序列存儲在gadget庫中，然后對該庫進行優化，最后根據用戶的輸入在庫中搜索到與用戶輸入功能相同的gadget鏈。通過對搜索工具搜索到的gadget進行統計，結果表明gadget集具有圖靈完整性，可以執行任意的操作。本文不僅提出了ARMv8架構下的gadget自動搜索工具，而且利用搜索到的gadget在ARMVv8 Linux中進行了ROP實驗，實驗結果表明可以利用gadget集在ARMv8架構上進行ROP攻擊。但是本文的搜索工具是基于語法進行搜尋的，在搜索過程中會產生許多無用的gadget，而且無法反映gadget一些標志寄存器的影響，降低了gadget的搜索效率和準確性。下一步我們將提出一種基于語義的gadget自動搜索方法對這些問題進行解決。此外，本文使用的ROP shellcode是通過人工分析形成的， ARMv8 ROP shellcode自動生成方法的研究也將成為下一步工作的重點。

參考文獻

[1] Krahmer S.x86-64 buffer overflow exploits and the borrowed code chunks exploitation technique[J].C1:Vulnerable Server application,2005.

[2] Shacham H.The geometry of innocent flesh on the bone:Return-into-libc without function calls (on the x86)[C]//Proceedings of the 14th ACM conference on Computer and communications security.ACM,2007:552-561.

[3] Kornau T.Return oriented programming for the ARM architecture[D].Master’s thesis,Ruhr-Universitat Bochum,2010.

[4] Roemer R,Buchanan E,Shacham H,et al.Return-oriented programming:Systems,languages,and applications[J].ACM Transactions on Information and System Security (TISSEC),2012,15(1):2.

[5] Vincenzo Iozzo,ROP and iPhone.http://blog.zynamics.com/2010/04/16/rop-and-iphone/, Apri,16,2010.

[6] Schwartz E J,Avgerinos T,Brumley D.Q:Exploit Hardening Made Easy[C]//USENIX Security Symposium,2011.

[7] Chen P,Xiao H,Shen X B,et al.DROP:Detecting return-oriented programming malicious code[M]//Information Systems Security.Springer Berlin Heidelberg,2009:163-177.

[8] Yang C,Zheng T,Lin Z.AR Exploit:An Automatic ROP Exploit Based on Long Sequence[C]//Software Security and Reliability-Companion (SERE-C),2014 IEEE Eighth International Conference on.IEEE,2014:50-56.

[9] https://silver.arm.com/download/ARM_and_AMBA_Architecture/AR100-DA-70501-r0p0-00eac5/ARMv8_ISA_PRD03-GENC-010197-30-0.pdf.

[10] https://silver.arm.com/download/ARM_and_AMBA_Architecture/AR10 0-DA-70501-r0p0-00eac5/DDI0487A_a_armv8_arm_errata.pdf.

[11] Linaro.Linaro ARMv8 Project.http://www.Linaro.org/projects/armv8/.

[12] Buchanan E,Roemer R,Shacham H.When good instructions go bad:generalizing return-oriented programming to RISC[C]//Proceedings of the 15th ACM conference on Computer and communications security.ACM,2008:27-38.

AN AUTOMATED GADGET SEARCH FRAMEWORK BASED ON ARMv8 ARCHITECTURE

Zhao LijunWang ZhenyuWang YisenZhuang Kuan

(StateKeyLaboratoryofMathematicalEngineeringandAdvancedComputing,PLAInformationEngineeringUniversity,Zhengzhou450001,Henan,China)

AbstractTo implement ROP (return-oriented programming) technology on the first ARMv8 architecture supporting 64 bits processor which is the latest release of ARM, we designed an automatic search tool for ROP gadget on ARMv8 architecture. By combining the features of instruction system of ARMv8 architecture, it first searches all the short instruction sequences ending with “RET” instruction in library files, and stores these instruction sequences to gadget library, and then uses some optimisation strategy to optimise the library, finally, according to users’ input it finds the gadget chains with same function of users’ input. Through the statistics of gadgets searched by search tool, result showed that the gadget set had the Turing completeness, and could execute any operation. In end of the paper, through an example we proved the feasibility of ROP on ARMv8 architecture.

KeywordsROPInstruction sequenceAutomatic searchARMv8Turing completeness

收稿日期：2014-12-02。國家高技術研究發展計劃基金項目(200 9AA012200)。趙利軍，碩士生，主研領域：嵌入式設備安全分析。王震宇，副教授。王奕森，碩士生。莊寬，碩士生。

中圖分類號TP309.1

文獻標識碼A

DOI:10.3969/j.issn.1000-386x.2016.05.076