面向軟件安全的二進制代碼逆向分析關(guān)鍵技術(shù)研究.pdf

1、二進制代碼逆向分析是一種針對二進制代碼的程序分析技術(shù)。它在源代碼無法獲取的情形中至關(guān)重要。如在惡意軟件檢測與分析中，由于惡意軟件作者往往不公開源代碼，二進制代碼逆向分析幾乎是唯一的分析手段。在對商業(yè)軟件的安全審查以及抄襲檢測中，由于沒有源代碼，也只能對其二進制代碼進行分析。二進制代碼逆向分析技術(shù)還可以應(yīng)用于加固現(xiàn)有軟件，減少安全漏洞，也可以用于阻止軟件被破解，防止軟件被盜版，保護知識產(chǎn)權(quán)。當前，無論是在巨型計算機，還是在智能手機以及嵌入

2、式設(shè)備中，絕大多數(shù)軟件都是以二進制代碼形式發(fā)布。所以，研究二進制代碼逆向分析對于提高計算機軟件的安全性，具有重要的科學(xué)理論意義和實際應(yīng)用價值。
　　由于二進制代碼和源代碼間存在巨大的差異，使得二進制代碼逆向分析相對于程序源代碼分析要困難得多。混淆技術(shù)的使用和編譯器優(yōu)化也會增加對二進制代碼進行分析的難度。此外，為保護軟件不被檢測和分析，惡意軟件會使用各種反分析方法，如基于完整性校驗的反修改和基于計時攻擊的反監(jiān)控。為分析這些軟件，需要

3、對抗這些反分析。這又進一步增加了二進制代碼逆向分析的難度。本文重點對二進制代碼反分析的識別，反匯編，函數(shù)和庫函數(shù)的識別等關(guān)鍵技術(shù)進行深入研究。
　　針對當前反分析識別的研究都只針對特定類型的反分析設(shè)計特定的反分析識別方法、缺乏通用性的問題，分析了各種反分析方法之間的概念相似性，提出了一個基于信息流的反分析識別框架。針對當前對抗基于完整性校驗的反修改需使用硬件輔助且不能處理自修改代碼的問題，研究了一個無需硬件輔助的基于動態(tài)信息流的識

4、別方法。首先使用后向污點分析來識別可執(zhí)行內(nèi)存位置或用來計算可執(zhí)行位置值的內(nèi)存位置，然后使用前向污點分析來識別校驗過程。對于基于計時攻擊的反監(jiān)控，亦可以使用這種方法識別。首先將常見獲取時間的指令和系統(tǒng)調(diào)用的返回值作為污點源，然后使用污點分析識別驗證過程。本文方法可以成功識別現(xiàn)有研究文獻中的基于完整性校驗的反修改和基于計時攻擊的反監(jiān)控技術(shù)，并提供識別出的反分析的基礎(chǔ)結(jié)構(gòu)信息，進而可以幫助分析人員設(shè)計出對抗這些反分析的技術(shù)。
　　針對當

5、前動靜結(jié)合反匯編方法仍存在覆蓋率低的問題，研究了一種多路徑探索方法來反匯編代碼。靜態(tài)反匯編無法區(qū)分可執(zhí)行代碼區(qū)域中的數(shù)據(jù)和代碼，也無法處理自修改代碼。動態(tài)反匯編方法代碼覆蓋率低，只會處理已執(zhí)行的路徑。本文使用基于二進制插樁技術(shù)的動態(tài)分析技術(shù)記錄程序指令執(zhí)行軌跡，并通過逆轉(zhuǎn)已執(zhí)行路徑中的條件分支來實現(xiàn)多路徑探索，從而提高動態(tài)分析的覆蓋率。然后精簡合并所有執(zhí)行軌跡。最后使用靜態(tài)反匯編來發(fā)現(xiàn)未處理區(qū)域中的代碼。該方法能夠高準確度高覆蓋率地反匯

6、編二進制代碼。
　　當前函數(shù)識別方法無法識別無交叉引用和無頭尾特征的函數(shù)。針對這個問題，研究了一個以函數(shù)返回指令為識別特征的函數(shù)識別方法。因為一個函數(shù)至少有一個返回指令使得控制流離開函數(shù)，因此，相比傳統(tǒng)方法使用的函數(shù)頭尾特征，本文采用的返回指令作為識別特征更可靠。首先引入逆向擴展控制流圖（Reverse Extended Control Flow Graph,RECFG）的概念。它是特定代碼區(qū)域中，包含指定返回指令所有可能的控制流

7、圖集合。然后提出一種基于RECFG的函數(shù)識別方法，該方法首先從一個代碼區(qū)域中的所有可解釋為返回指令的地址開始逆向分析控制流圖，構(gòu)造RECFG。設(shè)計了4個圖剪枝規(guī)則來移除非編譯器正常生成的點和路徑。然后對于每個獨立的RECFG，最后使用多屬性決策方法來挑選一個子圖作為函數(shù)的控制流圖。該方法可以準確地識別特定代碼區(qū)域中可能的函數(shù)。
　　針對傳統(tǒng)庫函數(shù)識別方法無法識別內(nèi)聯(lián)庫函數(shù)的問題，研究了一個識別庫函數(shù)的新方法。由于內(nèi)聯(lián)及優(yōu)化的庫函數(shù)

8、存在非連續(xù)性和多態(tài)性，傳統(tǒng)的基于函數(shù)頭n個字節(jié)的特征匹配方法無法識別內(nèi)聯(lián)函數(shù)。本文首先引入執(zhí)行流圖（Execution Flow Graph,EFG）的概念，用EFG來描述二進制代碼的內(nèi)在行為特征。然后通過在目標函數(shù)中識別相似EFG子圖來識別庫函數(shù)。通過分析其各指令內(nèi)執(zhí)行依賴關(guān)系識別目標函數(shù)中非連續(xù)內(nèi)聯(lián)庫函數(shù)。通過指令標準化識別經(jīng)編譯優(yōu)化后存在的多形態(tài)內(nèi)聯(lián)庫函數(shù)。由于子圖同構(gòu)測試非常耗時，因此本文定義了5個過濾器過濾掉不可能匹配的子圖，

9、并引入收縮執(zhí)行流圖（Reduced Execution Flow Graph,REFG）來加速子圖同構(gòu)測試。EFG和REFG方法的查準率都比當前最先進的工具高，并可以準確地識別傳統(tǒng)方法難以識別的內(nèi)聯(lián)庫函數(shù)。相對于EFG,REFG可以在保持相同查準率和查全率的情況下顯著降低EFG方法的處理時間。
　　綜上所述，上述方法為識別包括基于完整性校驗的反修改在內(nèi)的反分析、提高動態(tài)反匯編方法覆蓋率、識別無交叉引用無明顯頭尾特征的函數(shù)、快速識別