返回導向程式設計

返回導向編程（英語：Return-Oriented Programming，縮寫：ROP）是電腦安全中的一種漏洞利用技術，該技術允許攻擊者在程式啟用了安全保護技術（如堆疊不可執行）的情況下控制程式執行流，執行惡意代碼^[1]。其核心思想是通過棧緩衝區溢位等方式控制堆疊呼叫以劫持程式控制流並執行針對性的機器語言指令序列（稱為Gadgets）^[2]。所謂 gadgets 就是以 ret 結尾的指令序列，通過這些指令序列，我們可以修改某些地址的內容，方便控制程式的執行流程。^[3]

「返回導向編程」的各地常用名稱
中國大陸	返回導向編程、面向返回程序設計、面向返回編程
港澳	返回導向程式設計、返回導向編程
臺灣	返回導向程式設計

分類

依據對於 gadget 利用的形式，返回導向編程主要有以下幾種類型：

• ret2text
• ret2shellcode
• ret2syscall
• ret2libc
• ret2dl_resolve
• ret2VDSO
• SROP
• BROP

背景

堆疊溢位攻擊

ROP是一種進階的堆疊溢位攻擊。這類攻擊往往利用操作堆疊呼叫時的程式漏洞，通常是緩衝區溢位。在緩衝區溢位中，在將數據存入主記憶體前未能正確檢查適當範圍的函數會收到多於正常承受範圍的數據，如果數據將寫入棧，多餘的數據會溢位為函數變量分配的空間並覆蓋替換返回地址（return address）。在原本用以重新導向控制流並返回給呼叫者的地址被覆蓋替換後，控制流將覆寫到新分配的地址。

標準的緩衝區溢位攻擊，攻擊者只需要寫出針對堆疊部分的代碼（有效載荷）。直到1990年代後期，主流作業系統沒有為該類攻擊作出任何防範，微軟直到2004年才提供了緩衝區溢位保護。作業系統最終使用數據執行保護技術來修補這個漏洞，該技術標記主記憶體數據不可執行。 啟用數據執行保護，機器將拒絕執行任何主記憶體中user級別可寫區域的代碼。該技術的硬件支援不久用以加強該防範。