ROPecker: A generic and practical approach for defending against ROP attack, NDSS 2014. about rop-intro-and-foreland HOT 1 CLOSED

ROPecker是一个针对ROP攻击的特点来针对开发出的一个对于ROP攻击的检测和防御工具，实现在x86-linux系统上。

ROPecker依据了ROP攻击的以下几个特征：1、ROP攻击的调用链通常特别长，并且由jmp指令和分支判断指令作跳转。2、ROP攻击通常会在代码段进行大幅度的跳转

ROPecker需要假设DEP(Data Execution Prevention)机制打开。针对ROP攻击的特性进行了如下设计：首先先对ROPecker保护和检测的相应程序进行一次离线的gadget分析，并且使用硬件上实现的LBR（last branch record）寄存器记录对于代码执行流的branch信息。在程序执行过程中，通过sliding window机制，即将不在代码当前执行片段周围的代码变为“不可执行”状态，一旦执行了不在sliding window中的代码就触发ROPecker对ROP攻击的分析机制。分析机制基于离线的gadget分析结果，根据当前程序的过去和未来的执行进行仿真分析，一旦发现执行流不符即判断程序受到了ROP攻击，强制终止程序，达到检测和防御的目的。

ROPecker是第一个可以针对所有形式ROP攻击的一种general的，不需要源代码，二进制代码重写，并且非常有效率的防御机制。ROPecker的overhead只有对于CPU2.6%，硬盘读写1.56%，带宽0.08%

from rop-intro-and-foreland.