即时编译器将输入型程序,如JavaScript程序(简称js程序),编译为本地可执行代码,这为攻击者提供了便利。攻击者可利用js程序中受控制的常量构造攻击时所需的代码片段(称为gadget)来构建攻击代码。常数致盲等方法可使得js程序中的显式常量不再出现在代码缓存中,解决此类问题。近期有研究提出,攻击者通过隐式常量注入攻击所需代码片段,以实现攻击,使常数致盲等显式常量防御方法无效。为此,本文研究隐式常量的防御方法。通过分析此类攻击的原理及形成条件,采取变换代码缓存中隐式常量的方法,防御隐式常量的复用攻击。本文的主要研究工作如下:(1)分析了隐式常量攻击的原理及形成条件。动态生成代码的过程中,当一个语句块中的指令都生成后,隐式常数的值才能通过计算得到。因此在生成包含隐式常数的指令时,常数致盲的防御方案因无法得到隐式常数的值而不能对隐式常数进行保护。攻击者可利用这一缺陷,通过大量的测试、了解即时编译器的编译规律后,精心控制脚本代码中的语句块大小,使得脚本代码经过即时编译后能够得到编码了 gadget的隐式常数,然后进一步实施ROP攻击。(2)设计了一个基于寄存器随机化与代码改写相结合的防御方案,以消除本地代码中可被利用的隐式常量。寄存器随机化的目的在于将攻击者精心制造并注入的隐式常量进行随机地变换,使其发生改变,不易被攻击者控制、利用。在动态生成指令时,通过将扩展寄存器与其他通用寄存器随机置换,使得最终生成的指令大小发生改变,间接改变隐式常量。进而,在动态生成代码运行之前,对于还存在的可能被利用的隐式常量,采用二进制改写的方法将这些隐式常数隐藏到索引表中。寄存器随机化在不影响性能开销的基础上能够消除大部分有害的隐式常数,而代码改写能够有针对性地将可被利用的隐式常数隐藏、消去。(3)基于上述方案,在SpiderMonkey中实现了原型系统,并利用Firefox自带的测试文件集测试、验证了方案的可行性。以Octane、Sunspider等基准测试集,测试了原型系统的性能开销。实验结果表明,该方案可有效防御隐式常量攻击,其时空开销都较小。