随着21世纪信息技术的发展,互联网带来的信息革命已经深入各行各业,大大促进了经济,文化,社会等各个方面的快速发展。互联网中的浩如烟海的程序代码是由一位位辛劳的程序员而写,不可避免地会出现漏洞。到如今,软件漏洞已经存在了至少30多年,每一次漏洞的爆发都会给社会带来巨大的经济损失。Linux是现代互联网发展的基石,软件漏洞的攻击与防御技术在过去几十年中螺旋发展,防御者提出了各种各样的防御技术。时至今日,攻击者依然能够通过组合多个漏洞来绕过层层防御机制,最终控制目标系统。本文通过深入研究Linux平台上用户态软件的漏洞类型、已有的防御机制、漏洞防御的绕过技术和现代软件漏洞的利用方法,进一步归纳漏洞利用的本质特征。在此基础上,深入研究可执行程序ELF文件的文件格式和运行原理,分别从静态的ELF文件本身和ELF动态执行这两个角度出发,提出了一套漏洞防御技术来限制攻击者的漏洞利用。首先,提出了针对ELF可执行空间Segment的通用扩展技术。在ELF文件执行前,在其中插入保护代码并执行,大大减小程序攻击面。其次,提出了 Backtrace Canary的漏洞缓解机制。在ELF文件执行时,通过校验函数的Backtrace Canary来判断函数调用的合法性,大大限制了攻击者的漏洞利用过程。基于上述两点,本文设计并实现了一套漏洞防御系统,包括静态漏洞防御子系统和动态漏洞防御子系统。实验结果表明该漏洞防御系统具备非常好的实用价值,可以有效防御攻击者通过软件漏洞来获取Linux操作系统的控制权。