下载PDF摘要:复杂的攻击者在软件中发现错误,评估其可利用性,然后为发现可利用的错误创建和启动利用程序。保护软件的最大努力是尝试消除漏洞或添加附加漏洞,这些漏洞会使利用工作更加困难。在本文中,我们介绍了一种新的防御技术,称为谷壳虫(Baff bug),它针对此过程中的错误发现和开发阶段。与其消除错误,不如添加大量可证明(但不是很明显)不可利用的错误。尝试在软件中发现和利用错误的攻击者很有可能会发现有意放置的不可利用的错误,并浪费宝贵的资源来尝试构建有效的漏洞。我们开发了两种确保不可利用性的策略,并使用它们来将数千个无法利用的错误自动添加到实际软件中,例如nginx和libFLAC;我们证明该软件的功能未受到损害,并表明我们的错误对于当前的triagetools而言似乎是可利用的。我们认为,谷壳小虫可以有效地阻止人类攻击者和自动网络推理系统(CRS)。