基于自封闭代码块的软件保护技术研究

针对传统的基于垃圾指令插入的花指令技术在软件保护应用中的不足,提出了一种基于自封闭代码块的软件反静态分析和动态调试的软件保护技术。重点介绍了自封闭代码块的相关概念,阐述了自封闭代码块的自动生成技术,包括基于指令编码表的随机指令序列生成技术和基于指令逆向思想的逆指令序列生成技术,并给出了相关算法和实例分析。     

基于SMC的Android软件保护研究与实现

随着Android平台的广泛应用,Android平台的软件保护越来越受到重视。由于Android平台普及时间较短,Android软件保护的研究尚处于起步阶段,而且开发人员安全意识不足,导致软件开发者的知识产权受到侵犯的事件屡见不鲜。文章针对Android平台逆向工程技术越来越泛滥的问题,在深入研究Android系统软件保护的基础之上,结合Android平台的软件破解技术,提出一种改进的基于代码自修改(self-modifying code,SMC)的Android软件保护机制。文章参考Windows平台代码自修改技术,通过对Android平台应用运行机制的整合,实现了Android平台的代码自修改。该机制在Android的代码自修改基础之上,采用自校验技术以及双层SMC,实现了对程序完整性的自校验以及在程序运行时对内存关键代码的修改,并通过相关代码的测试,验证该机制能够有效提高Android应用的抗逆向分析和防篡改能力。     

一种基于虚拟机Handler动态加解密的软件保护方法及实现

考虑到Handler序列为逆向分析者的重点攻击对象。针对Handler指令序列的内存转储分析以及起始和终止点的断点分析,提出一种基于虚拟机Handler动态加解密的软件保护方法,在基于虚拟机的软件保护方法上,增加加密和解密代码模块,并将所有Handler进行加密保存。当程序执行到某个Handler时,先将加密过的Handler进行解密并执行,执行完成后再次对其进行加密,直到所有Handler序列执行结束。实验和分析表明:该方法能够有效防止攻击者对于Handler的起始和终止位置进行断点调试分析和内存转储分析。     

基于增强型虚拟机的软件保护技术

针对目前日益严峻的软件保护问题,对现有基于虚拟机的软件保护技术进行分析与研究,对虚拟机保护技术进行了改进,设计了一种增强型虚拟机软件保护技术。采用了虚拟花指令序列与虚拟指令模糊变换技术,并对虚拟机的虚拟指令系统做了改进,从而提高了虚拟机执行的复杂程度与迷惑程度,具有高强度的反逆向、防篡改、防破解的特点。实验分析表明,增强型虚拟机保护技术明显优于普通型虚拟机保护技术。     

目标代码静态反汇编技术研究与实现

软件通常以二进制文件的PE格式发布,但它不利于阅读和分析.通过反汇编分析器可以将二进制文件转化成高级语言的汇编指令,从而有利于对目标代码的分析,方便对目标代码进行软件保护相关的操作.实验表明,线性扫描和递归遍历相结合的反汇编分析算法取得较好的效果.     

一种基于椭圆曲线的序列号软件保护方案

这里提出了一种基于椭圆曲线公钥密码算法的序列号生成方案,结合签名技术,可以防止敌手代码被篡改或者跳过某些重要代码,因此该方案构成一种安全有效的软件保护方案,最后分析了该方案的安全性,并进行了方案的有效性实验.     

基于RSA算法与自修改机制的软件保护

软件版权保护一直是软件作者和公司关心的问题.通过对目前所采用的软件保护方式进行分析,从增大代码理解难度的角度出发,提出了基于RSA算法的软件注册码分配方式,其基本思想是,在程序开发过程中,利用RSA算法中的公钥,对程序中部分代码进行加密,然后将私钥作为注册码对程序进行解密.并且提出基于自修改机制(self-modifying mechanism)的软件保护技术,降低了软件被破解的风险.     

攻击网页浏览器:面向脚本代码块的ROP Gadget注入

即时编译机制（just-in-time compilation）改善了网页浏览器执行JavaScript脚本的性能,同时也为攻击者向浏览器进程注入恶意代码提供了便利.借助即时编译器,攻击者可以将脚本中的整型常数放置到动态代码缓存区,以便注入二进制恶意代码片段（称为gadget）.通过常数致盲等去毒化处理,基于常数的注入已经得到有效遏制.证实了不使用常数转而通过填充脚本代码块也能实施gadget注入,并实现图灵完备的计算功能.在编译一段给定的脚本代码时,即时编译器生成的动态代码中通常存在着一些固定的机器指令序列.这些指令序列的存在性不受常数致盲和地址空间布局随机化等安全机制的影响,同时,这些指令序列中可能蕴涵着攻击者期望的gadget.在实施攻击时,攻击者可以汇集特定的脚本代码块来构造一个攻击脚本,再借助即时编译器来注入gadget.在x86-64架构上评估了这种注入攻击在SpiderMonkey和GoogleV8这两个开源即时编译引擎上的可行性.通过给这两个引擎输入大量的JavaScript脚本,可以得到较为丰富的动态代码块.在这些动态代码块上的统计分析结果表明,这两个引擎生成的动态代码中都存在图灵完备的gadget集合.在实际攻击场景中,攻击者可以利用的脚本集合完全包含且远远多于实验用的脚本.因此,攻击者可以采用该方法注入需要的gadget,以便构造出实现任意功能的ROP（return-orientedprogramming）代码.     

一种基于ARM微处理器的嵌入式代码语义属性分析方法

通过深入研究ARM指令系统的特点及其编译后的代码特征,构建了基于ARM微处理器的二进制嵌入式代码解析模型,讨论了基于ARM体系结构的嵌入式代码语义分析方法。从指令和指令序列两种粒度级别分别讨论了代码语义属性的抽取方法,并分析了基于该解析模型的指令和指令序列的实例。结果表明,此方法极大地提高了代码解析的准确性和可读性。     

基于指令交换的代码混淆方法

软件程序是按一定顺序排列的指令序列,指令的排列组合构成了千变万化的程序语义.指令顺序重排通常会相应地导致程序语义的变化,通过分析相邻指令序列的相对独立性,可以在不影响程序语义的前提下交换相邻指令序列,增大指令距离,改变程序特征,在一定程度上增加逆向分析代价.通过改进程序的形式化定义论证相邻指令交换的充分条件,采用模拟退火算法实现随机化的指令乱序混淆方法,并将指令乱序方法与虚拟机代码保护技术融合,实现基于指令乱序的虚拟机代码保护系统IS-VMP,使用加密算法实例进行系统测试,验证了指令乱序混淆算法的可行性与有效性.     

基于代码碎片化的软件保护技术

针对当前软件保护技术存在的不足,提出一种代码碎片化技术,该技术是一种以函数为单元,对函数进行代码shell化、内存布局随机化、执行动态链接化的新型软件保护技术,代码shell化实现代码碎片的位置无关变形,内存布局随机化实现代码碎片的随机内存加载,动态链接化实现对代码碎片的动态执行,通过上述3个环节实现对程序的碎片化处理。实验表明,代码碎片化技术不仅能实现程序执行过程中函数碎片内存位置的随机化,还能实现函数碎片的动态链接执行,增加程序静态逆向分析和动态逆向调试的难度,提高程序的抗逆向分析能力。     

一种基于多维防御混合策略的虚拟机保护安全性增强方法

针对虚拟机模块连接安全性较弱的问题,提出一种多维防御混合的虚拟机保护安全性增强方法。首先融合ROP、指令重叠和指令自修改技术对虚拟机框架模块连接指令序列进行隐蔽性混淆,然后运用基于多样化和随机化技术构造的混淆指令网络提升指令序列复杂性,最后采用哨兵集和三线程保护技术完成模块连接指令序列的防篡改。采用了不透明谓词,随机选...     

Fuzzing测试中异常分析技术的研究

Fuzzing测试是一种基于缺陷注入的自动软件测试技术,近几年来广泛应用于软件测试、安全漏洞挖掘等领域.当Fuzzing测试出现异常时,需要人工逆向精确定位触发漏洞的代码位置,分析的工作量大,而且分析效率较为低下.论文以现有二进制比较技术为基础,根据二进制目标软件中代码运行的依赖关系,提出一种针对执行记录的两阶段比较算法,在函数级别和基本块级别上对文件正常执行和出现异常的跟踪记录内容进行比较,得到所有相同和不同的指令执行序列.依托指令序列信息,可以有效辅助人工分析,大大降低分析的工作量,提高分析效率.     

二进制翻译技术研究综述

随着信息技术的快速发展,涌现出各种新型处理器体系结构.新的体系结构出现为处理器多样化发展带来机遇的同时也提出了巨大挑战,需要兼容运行已有软件,确保较为丰富的软件生态群.但要在短期内从源码编译构建大量生态软件并非易事,二进制翻译作为一种直接从二进制层面迁移可执行代码技术,支持跨平台软件兼容运行,既扩大了软件生态群,又有效降低了应用程序与硬件之间的耦合度.近年来,二进制翻译技术研究取得了较大进展.为总结现有成果并分析存在的不足,本文首先介绍了二进制翻译技术的分类以及典型的二进制翻译系统,之后从指令翻译方法、关键问题研究、优化技术等方面分别进行分析总结,接着阐述了二进制翻译技术的核心应用领域,最后对二进制翻译技术的潜在研究方向进行展望.     

基于多特征的静态软件胎记提取算法

针对使用现有软件胎记进行程序抄袭检测结果不准确的问题,提出一种新的静态软件胎记提取算法。该算法产生的程序胎记由软件的两个方面特征综合生成。算法对源程序和可疑程序进行预处理得到程序元信息,然后通过元信息获取程序的应用程序接口（API）调用集合和指令序列作为两个特征,综合这两项特征生成软件胎记;接着,计算源程序与可疑程序的软件胎记之间的相似度,通过相似度判定两程序之间是否存在抄袭行为。实验验证了该算法得到的软件胎记具有可信性和弹性,与传统的k-gram软件胎记相比更具有弹性。     

一种新的移动Agent保护方案研究与设计

随着移动Agent技术在分布式计算中的应用,移动Agent系统在安全和软件工程两方面面临着巨大的挑战。为了防止恶意或未授权的第三方实体的攻击,研究了保护移动Agent数据和代码的方法。设计了一种全新的移动Agent结构,由封装了所有要在特定主机平台上执行的代码的数据和负责传送并处理这些数据的显示代码构成,这种数据代码分离结构与其他已有的移动Agent结构互不影响,因而提高了移动Agent平台之间的互操作性。同时描述了公钥解密和Agent验证机制,实现了保护数据免受篡改代码引起的攻击,以及通过进一步改进数据的结构,实现了保护代码免受注入恶意数据引起的攻击。     

基于SHA512哈希函数和Rijndael加密算法QR二维码信息安全设计

随着二维码技术广泛应用于电子票务、银行支票、电子保单等多个领域,二维码的信息泄露和信息篡改等安全问题日益突出。为提高二维码内部信息的安全性能,从对二维码内部信息加密和二维码信息防篡改俩个角度来提高。基于Visual Studio 2008 C#平台,设计了一种采用SHA512哈希函数和Rijndael加密算法混合加密的方法,该方法利用Rijndael加密和SHA512数字签名等技术,对Rijndael第一次加密密钥系统随机分配,并对系统随机分配密钥采用二次Rijndael加密防护方法,并通过SHA512对二维码内部信息防篡改校验,达到对二维码信息及其加密密钥的安全保护。在生成QR二维码之前实现了信息加密,并从系统构架、算法原理和实现及安全性能等多个方面进行了测试和分析。分析表明此方法提高了二维码信息的安全性能,达到对密钥高效管理和对信息的多重保护,而在加密后密文信息容量较明文信息有所增加。     

二进制代码相似性搜索研究进展

随着物联网和工业互联网的快速发展,网络空间安全的研究日益受到工业界和学术界的重视。由于源代码无法获取,二进制代码相似性搜索成为漏洞挖掘和恶意代码分析的关键核心技术。首先,从二进制代码相似性搜索基本概念出发,给出二进制代码相似性搜索系统框架;然后,围绕相似性技术系统介绍二进制代码语法相似性搜索、语义相似性搜索和语用相似性搜索的发展现状;其次,从二进制哈希、指令序列、图结构、基本块语义、特征学习、调试信息恢复和函数高级语义识别等角度总结比较现有解决方案;最后,展望二进制代码相似性搜索未来发展方向与前景。