二進(jìn)制程序的自動化協(xié)議逆向分析方法研究.pdf

1、隨著網(wǎng)絡(luò)通信技術(shù)的發(fā)展,在線應(yīng)用程序被越來越廣泛地使用,其中可能存在的安全問題也被人們越來越重視,因此對網(wǎng)絡(luò)通信協(xié)議的分析變得至關(guān)重要。而為了保護自身數(shù)據(jù)不被破壞或泄露,大多數(shù)計算機程序使用加密技術(shù)來保障其安全性。但與此同時,加密技術(shù)也被很多惡意程序用來防止自身被檢測或分析,從而實現(xiàn)其惡意目的,對安全的網(wǎng)絡(luò)環(huán)境造成了嚴(yán)重的威脅。因此,對惡意程序的通信協(xié)議尤其是加密通信協(xié)議的分析變得至關(guān)重要。通過對加密方案的分析,安全研究人員能夠更容易地

2、理解惡意程序的行為和內(nèi)部結(jié)構(gòu),從而實現(xiàn)對于惡意程序的防范。自動化協(xié)議分析在網(wǎng)絡(luò)安全研究中扮演重要角色,在協(xié)議逆向、入侵檢測、網(wǎng)絡(luò)防護、模糊測試以及程序特征識別等方面發(fā)揮了最為重要的作用。
　　然而,目前對于加密協(xié)議的自動化分析方法仍然難以滿足目前的需求。比如,已有的分析方法要求程序中解密和消息處理分階段進(jìn)行,這在目前日益復(fù)雜的惡意程序中幾乎是不可能實現(xiàn)的。已有分析方法所依賴的指令密度特征在如今惡意程序被程序混淆等手段所保護的情況下

3、也常常被消除。同時,已有方法通常無法提取出諸如密碼算法類型、密鑰以及明密文等參數(shù),這對惡意程序的深入分析造成了較大的障礙。這些存在的問題要求我們提出新的分析方法來應(yīng)對目前對加密協(xié)議的分析需求。
　　針對已有分析方法的不足之處,本文提出了一種新的加密網(wǎng)絡(luò)協(xié)議分析方法,能夠有效地解決當(dāng)前存在的問題。本文所述方法的主要貢獻(xiàn)如下:(一)以污點分析和數(shù)據(jù)依賴分析為基礎(chǔ),檢測和分析加密協(xié)議消息處理中的加解密、編解碼和數(shù)據(jù)校驗等算法,消除了已有

4、方法中對于解密和處理分階段執(zhí)行和對指令密度特征的要求;(二)對惡意程序中常見的多層加密結(jié)構(gòu)提出了子消息重建方法,解決了已有方法中僅能對單層加密進(jìn)行分析的缺陷,為分析人員提供最全面的分析結(jié)果;(三)提出了使用數(shù)據(jù)模式分析對算法的動態(tài)參數(shù)進(jìn)行提取的分析方法,彌補了已有方法中無法對算法參數(shù)進(jìn)行有效提取的弱點,極大減輕了分析人員的負(fù)擔(dān);(四)開創(chuàng)了針對加密協(xié)議的私有算法分析方法,并建立了適用于私有算法的數(shù)據(jù)依賴關(guān)系分析方法,使惡意程序中常見的私