版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡(jiǎn)介
1、二進(jìn)制代碼逆向分析是一種針對(duì)二進(jìn)制代碼的程序分析技術(shù)。它在源代碼無法獲取的情形中至關(guān)重要。如在惡意軟件檢測(cè)與分析中,由于惡意軟件作者往往不公開源代碼,二進(jìn)制代碼逆向分析幾乎是唯一的分析手段。在對(duì)商業(yè)軟件的安全審查以及抄襲檢測(cè)中,由于沒有源代碼,也只能對(duì)其二進(jìn)制代碼進(jìn)行分析。二進(jìn)制代碼逆向分析技術(shù)還可以應(yīng)用于加固現(xiàn)有軟件,減少安全漏洞,也可以用于阻止軟件被破解,防止軟件被盜版,保護(hù)知識(shí)產(chǎn)權(quán)。當(dāng)前,無論是在巨型計(jì)算機(jī),還是在智能手機(jī)以及嵌入
2、式設(shè)備中,絕大多數(shù)軟件都是以二進(jìn)制代碼形式發(fā)布。所以,研究二進(jìn)制代碼逆向分析對(duì)于提高計(jì)算機(jī)軟件的安全性,具有重要的科學(xué)理論意義和實(shí)際應(yīng)用價(jià)值。
由于二進(jìn)制代碼和源代碼間存在巨大的差異,使得二進(jìn)制代碼逆向分析相對(duì)于程序源代碼分析要困難得多?;煜夹g(shù)的使用和編譯器優(yōu)化也會(huì)增加對(duì)二進(jìn)制代碼進(jìn)行分析的難度。此外,為保護(hù)軟件不被檢測(cè)和分析,惡意軟件會(huì)使用各種反分析方法,如基于完整性校驗(yàn)的反修改和基于計(jì)時(shí)攻擊的反監(jiān)控。為分析這些軟件,需要
3、對(duì)抗這些反分析。這又進(jìn)一步增加了二進(jìn)制代碼逆向分析的難度。本文重點(diǎn)對(duì)二進(jìn)制代碼反分析的識(shí)別,反匯編,函數(shù)和庫函數(shù)的識(shí)別等關(guān)鍵技術(shù)進(jìn)行深入研究。
針對(duì)當(dāng)前反分析識(shí)別的研究都只針對(duì)特定類型的反分析設(shè)計(jì)特定的反分析識(shí)別方法、缺乏通用性的問題,分析了各種反分析方法之間的概念相似性,提出了一個(gè)基于信息流的反分析識(shí)別框架。針對(duì)當(dāng)前對(duì)抗基于完整性校驗(yàn)的反修改需使用硬件輔助且不能處理自修改代碼的問題,研究了一個(gè)無需硬件輔助的基于動(dòng)態(tài)信息流的識(shí)
4、別方法。首先使用后向污點(diǎn)分析來識(shí)別可執(zhí)行內(nèi)存位置或用來計(jì)算可執(zhí)行位置值的內(nèi)存位置,然后使用前向污點(diǎn)分析來識(shí)別校驗(yàn)過程。對(duì)于基于計(jì)時(shí)攻擊的反監(jiān)控,亦可以使用這種方法識(shí)別。首先將常見獲取時(shí)間的指令和系統(tǒng)調(diào)用的返回值作為污點(diǎn)源,然后使用污點(diǎn)分析識(shí)別驗(yàn)證過程。本文方法可以成功識(shí)別現(xiàn)有研究文獻(xiàn)中的基于完整性校驗(yàn)的反修改和基于計(jì)時(shí)攻擊的反監(jiān)控技術(shù),并提供識(shí)別出的反分析的基礎(chǔ)結(jié)構(gòu)信息,進(jìn)而可以幫助分析人員設(shè)計(jì)出對(duì)抗這些反分析的技術(shù)。
針對(duì)當(dāng)
5、前動(dòng)靜結(jié)合反匯編方法仍存在覆蓋率低的問題,研究了一種多路徑探索方法來反匯編代碼。靜態(tài)反匯編無法區(qū)分可執(zhí)行代碼區(qū)域中的數(shù)據(jù)和代碼,也無法處理自修改代碼。動(dòng)態(tài)反匯編方法代碼覆蓋率低,只會(huì)處理已執(zhí)行的路徑。本文使用基于二進(jìn)制插樁技術(shù)的動(dòng)態(tài)分析技術(shù)記錄程序指令執(zhí)行軌跡,并通過逆轉(zhuǎn)已執(zhí)行路徑中的條件分支來實(shí)現(xiàn)多路徑探索,從而提高動(dòng)態(tài)分析的覆蓋率。然后精簡(jiǎn)合并所有執(zhí)行軌跡。最后使用靜態(tài)反匯編來發(fā)現(xiàn)未處理區(qū)域中的代碼。該方法能夠高準(zhǔn)確度高覆蓋率地反匯
6、編二進(jìn)制代碼。
當(dāng)前函數(shù)識(shí)別方法無法識(shí)別無交叉引用和無頭尾特征的函數(shù)。針對(duì)這個(gè)問題,研究了一個(gè)以函數(shù)返回指令為識(shí)別特征的函數(shù)識(shí)別方法。因?yàn)橐粋€(gè)函數(shù)至少有一個(gè)返回指令使得控制流離開函數(shù),因此,相比傳統(tǒng)方法使用的函數(shù)頭尾特征,本文采用的返回指令作為識(shí)別特征更可靠。首先引入逆向擴(kuò)展控制流圖(Reverse Extended Control Flow Graph,RECFG)的概念。它是特定代碼區(qū)域中,包含指定返回指令所有可能的控制流
7、圖集合。然后提出一種基于RECFG的函數(shù)識(shí)別方法,該方法首先從一個(gè)代碼區(qū)域中的所有可解釋為返回指令的地址開始逆向分析控制流圖,構(gòu)造RECFG。設(shè)計(jì)了4個(gè)圖剪枝規(guī)則來移除非編譯器正常生成的點(diǎn)和路徑。然后對(duì)于每個(gè)獨(dú)立的RECFG,最后使用多屬性決策方法來挑選一個(gè)子圖作為函數(shù)的控制流圖。該方法可以準(zhǔn)確地識(shí)別特定代碼區(qū)域中可能的函數(shù)。
針對(duì)傳統(tǒng)庫函數(shù)識(shí)別方法無法識(shí)別內(nèi)聯(lián)庫函數(shù)的問題,研究了一個(gè)識(shí)別庫函數(shù)的新方法。由于內(nèi)聯(lián)及優(yōu)化的庫函數(shù)
8、存在非連續(xù)性和多態(tài)性,傳統(tǒng)的基于函數(shù)頭n個(gè)字節(jié)的特征匹配方法無法識(shí)別內(nèi)聯(lián)函數(shù)。本文首先引入執(zhí)行流圖(Execution Flow Graph,EFG)的概念,用EFG來描述二進(jìn)制代碼的內(nèi)在行為特征。然后通過在目標(biāo)函數(shù)中識(shí)別相似EFG子圖來識(shí)別庫函數(shù)。通過分析其各指令內(nèi)執(zhí)行依賴關(guān)系識(shí)別目標(biāo)函數(shù)中非連續(xù)內(nèi)聯(lián)庫函數(shù)。通過指令標(biāo)準(zhǔn)化識(shí)別經(jīng)編譯優(yōu)化后存在的多形態(tài)內(nèi)聯(lián)庫函數(shù)。由于子圖同構(gòu)測(cè)試非常耗時(shí),因此本文定義了5個(gè)過濾器過濾掉不可能匹配的子圖,
9、并引入收縮執(zhí)行流圖(Reduced Execution Flow Graph,REFG)來加速子圖同構(gòu)測(cè)試。EFG和REFG方法的查準(zhǔn)率都比當(dāng)前最先進(jìn)的工具高,并可以準(zhǔn)確地識(shí)別傳統(tǒng)方法難以識(shí)別的內(nèi)聯(lián)庫函數(shù)。相對(duì)于EFG,REFG可以在保持相同查準(zhǔn)率和查全率的情況下顯著降低EFG方法的處理時(shí)間。
綜上所述,上述方法為識(shí)別包括基于完整性校驗(yàn)的反修改在內(nèi)的反分析、提高動(dòng)態(tài)反匯編方法覆蓋率、識(shí)別無交叉引用無明顯頭尾特征的函數(shù)、快速識(shí)別
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 眾賞文庫僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 面向惡意代碼分析的二進(jìn)制組件提取關(guān)鍵技術(shù)研究.pdf
- 二進(jìn)制翻譯關(guān)鍵技術(shù)研究.pdf
- 二進(jìn)制代碼安全性分析.pdf
- 43424.二進(jìn)制代碼路徑混淆技術(shù)研究
- 基于二進(jìn)制代碼混淆的軟件保護(hù)研究.pdf
- 二進(jìn)制代碼函數(shù)相似度匹配技術(shù)研究.pdf
- 二進(jìn)制代碼級(jí)的漏洞攻擊檢測(cè)研究.pdf
- 基于二進(jìn)制多態(tài)變形的惡意代碼反檢測(cè)技術(shù)研究.pdf
- 基于動(dòng)態(tài)二進(jìn)制分析的惡意代碼行為完整性分析技術(shù)研究.pdf
- 基于符號(hào)執(zhí)行的二進(jìn)制代碼動(dòng)態(tài)污點(diǎn)分析.pdf
- 基于符號(hào)執(zhí)行的二進(jìn)制代碼動(dòng)態(tài)污點(diǎn)分析
- 基于二進(jìn)制動(dòng)態(tài)分析的網(wǎng)絡(luò)協(xié)議逆向方法研究.pdf
- 基于切片的二進(jìn)制代碼可視化分析的研究.pdf
- 1.4.2二進(jìn)制數(shù)
- 基于EDSM的二進(jìn)制協(xié)議狀態(tài)機(jī)逆向.pdf
- 基于二進(jìn)制代碼注入框架的內(nèi)存?zhèn)浞?pdf
- 二進(jìn)制代碼匹配與分析系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn).pdf
- 動(dòng)態(tài)二進(jìn)制翻譯的多線程架構(gòu)及關(guān)鍵優(yōu)化技術(shù)研究.pdf
- 基于二進(jìn)制到C翻譯技術(shù)的軟件性能仿真.pdf
- 基于edsm的二進(jìn)制協(xié)議狀態(tài)機(jī)逆向
評(píng)論
0/150
提交評(píng)論