一种基于反汇编技术的二进制补丁分析方法

软件开发商通过向用户提供补丁程序来修改软件中存在的安全漏洞。但随着安全漏洞研究者不断提高分析安全补丁的能力和速度,厂商开始向公众封闭与安全补丁相关的漏洞技术细节,仅提供软件打补丁前后的二进制代码,由此引发了二进制代码比较技术研究的热潮。二进制代码比较技术的目的是定位执行代码间的差异,从而获得补丁所修补的漏洞细节。本文提出了一种基于反汇编技术,定位执行代码间语义差异,从而完成二进制安全补丁分析的方法。描述了该技术模型、系统框架和关键技术,并通过实践证明此方法可以快速有效地定位安全补丁所修补的软件漏洞。     

基于多粒度语义分析的二进制漏洞搜索方法

二进制文件相似度检测旨在通过比较来自不同平台、编译器、优化配置甚至是不同软件版本的2个二进制文件的相似程度来判断二者是否高度相似,其中二进制漏洞搜索为其在信息安全领域的应用之一。二进制漏洞的产生为现代软件应用带来了诸多问题,如操作系统易受攻击、隐私信息易被窃取等。二进制漏洞产生的主要原因是软件开发过程中进行了代码复用却没有进行严格的监管。据此,提出了一种基于多粒度语义特征分析的二进制漏洞搜索方法Taurus,该方法通过3种粒度的语义特征来搜索跨平台的潜在二进制漏洞。给定待检测二进制文件和漏洞数据库,需要对其与漏洞数据库中的每个二进制漏洞进行逐一搜索。首先,分别对2个二进制文件进行语义提取,以获取二者在基本块、函数和模块3个粒度下的语义特征,并执行相似度计算;然后,整合3种粒度下语义特征的相似度,以计算3种文件的整体相似度得分;最后,将待检测二进制文件与漏洞数据库中所有漏洞的相似度得分结果进行降序排序,便获得了该二进制文件的搜索结果报告。经过合理配置下的实验对比,结果表明, Taurus方法在准确性方面要优于基线方法。     

基于函数语义分析的软件补丁比对技术

基于结构化的补丁比对是软件漏洞辅助分析的重要方法。在分析总结已有补丁比对技术及反补丁比对技术的基础上,针对结构化比对存在无法进行语义分析而导致误报的问题,提出了基于函数语义分析的软件补丁比对方法。利用传统的结构化比对方法,在函数级进行语法差异比较得到最大同构子图;通过程序依赖分析,构建函数输入输出之间的路径包络,基于符号执行以包络为对象计算函数输出特征;通过函数摘要进行语义级比对,结合最大同构子图的匹配函数结果,进一步分析得出发生语义变化的函数。最终,通过实验比对测试,验证了所提方法的可行性和优势。     

二进制代码相似性搜索研究进展

随着物联网和工业互联网的快速发展,网络空间安全的研究日益受到工业界和学术界的重视。由于源代码无法获取,二进制代码相似性搜索成为漏洞挖掘和恶意代码分析的关键核心技术。首先,从二进制代码相似性搜索基本概念出发,给出二进制代码相似性搜索系统框架;然后,围绕相似性技术系统介绍二进制代码语法相似性搜索、语义相似性搜索和语用相似性搜索的发展现状;其次,从二进制哈希、指令序列、图结构、基本块语义、特征学习、调试信息恢复和函数高级语义识别等角度总结比较现有解决方案;最后,展望二进制代码相似性搜索未来发展方向与前景。     

基于特征提取的二进制代码比较技术

二进制代码比较技术在病毒变种分析,安全补丁分析,版本信息导出等许多领域都有着广泛的应用。在定义了基于图的二进制代码描述方法的基础上,从函数和基本块两个层次对近似的二进制代码进行比较,分析出它们之间相同的部分和差异信息。讨论了基于图的二进制文件特征的选取,利用特征比较和固定点传播算法,建立两份代码在函数和基本块两个级别的对应关系。本文给出了这种基于特征提取的二进制代码比较技术的实现框架,并列举了它在恶意软件变种分析,公开漏洞定位方面的利用实例。     

基于加载机制分析的ELF文件main函数定位技术

当前二进制翻译中通用的main函数定位方法依赖于符号表，随着strip工具的普遍应用，二进制可执行文件中往往不存在符号表。该文描述了strip工具的应用目的，分析了其应用对二进制翻译的影响，基于ELF文件加载机制的分析，提出了一种新的main函数定位技术，通过对IA-32及IA-64下ELF格式二进制文件的翻译，证明该技术是有效的。     

基于结构化函数签名的二进制补丁分析

软件系统通常通过打补丁的方式来完善安全性或者补充功能。如何通过对补丁二进制代码进行逆向分析，揭示补丁前后应用程序间的差异信息，是信息安全领域的一个研究热点，在病毒变种分析、漏洞利用方面有重要意义。该文给出了一种利用结构化函数签名进行二进制补丁分析的方法，描述了其实现框架，并讨论了编译器优化策略对二进制补丁分析的影响及消除的方法。     

CFan安全信息榜

补丁公告:Microsoft安全公告MS06-020修补危害类型:远程执行代码补丁相关:Adobe公司的MacromediaFlashPlayer播放器在其处理Flash动画S.WF文件的过程中存在远程权限限制不严格导致远程执行代码漏洞。当用户访问了包含内建恶意代码的S.WF文件的网站,或者查看包含恶意代码的.SWF作为其附件的电子邮件,攻击者就可以通过构建特制的Flash动画(SWF)文件来利用此漏洞,该文件可能潜在允许远程执行代码。成功利用此漏洞的攻击者可以完全控制受影响的系统,微软第20号安全公告针对此漏洞发布的补丁对WindowsXPsp2系统中夹带的FlashPlayer播…     

基于模糊匹配的补丁文件定位算法研究

补丁文件定位是实现主机漏洞扫描及补丁推送系统的关键。本文在给出主机漏洞扫描及补丁推送系统的组成与补丁数据库设计的基础上,提出了基于模糊匹配的补丁文件定位算法。试用表明该算法可以有效提高补丁文件定位的效率与符合度。     

基于语义补丁的Linux驱动程序后向移植技术

使用语义补丁技术对Linux的网卡驱动程序的后向移植方法进行研究。通过分析多个不同内核版本的驱动程序代码,在兼容库代码的支持下,提出了一种使用语义补丁进行驱动程序后向移植的方法。针对符号和函数分别开发了语义补丁,解决了后向移植过程中代码冗余以及补丁文件过多的问题,提高了后向移植的效率。实验分析表明,所使用的语义补丁的代码行数比普通补丁减少了很多,使得移植过程更加高效。在后向移植的过程中,对兼容库的构造方法进行了总结,使得移植后的代码可读性更强。所提方法对实现其他驱动程序的后向移植提供了借鉴意义。     

基于关键路径测试的安全补丁存在性检测

漏洞的修复对于应用软件的安全至关重要。为了能够及时地修复所有已知漏洞,安全防护人员需要准确地检测一个安全补丁是否被应用。提出一个基于关键路径的语义层面的漏洞补丁存在性检测工具PatchChecker,通过找寻一条在漏洞修复前后发生改变的路径,分析其语义特征,生成能代表漏洞补丁的签名信息;利用这一签名信息,在目标程序中找出对应路径进行比较,判断漏洞补丁的应用情况。PatchChecker通过聚焦于单一路径,在提升对细节变化检测能力的同时,避免了未知代码修改带来的干扰。实验表明,PatchChecker能够以较高的准确率检测漏洞补丁是否被应用。     

一种基于模型检测的二进制程序脆弱性分析框架

针对二进制程序脆弱性分析的实际需求,提出了一种基于模型检测的二进制程序脆弱性分析框架。首先定义了二进制程序的抽象模型,描述了基于有限状态自动机的软件脆弱性形式化表示和基于事件系统的软件安全属性表示方法。在此基础上,提出了基于模型检测的脆弱性分析过程和算法。根据该分析框架,设计并实现了二进制程序脆弱性分析工具原型。通过脆弱性分析实验,详细说明了该框架的工作原理,验证了该分析方法的有效性。     

基于多核架构的安全漏洞分析平台研究

军工数字制造网络安全漏洞分析存在漏洞信息难以获取、分析和验证耗时长而且精度低等问题,传统的企业信息安全漏洞分析、测试验证技术不能够完全解决该问题,所以提出了基于多核架构的漏洞分析、验证、测补技术平台.将漏洞探测与分析技术、启发式漏洞渗透性测试技术、动态临时补丁生成和安装技术与基于多核处理器的软件架构相结合,实现漏洞分析...     

软件漏洞静态检测模型及检测框架

软件漏洞静态分析是信息安全领域的重点研究方向,如何描述漏洞及判别漏洞是漏洞静态分析的核心问题。提出了一种用于描述和判别漏洞的漏洞静态检测模型。首先对软件漏洞的属性特征进行形式化定义,并对多种软件漏洞和其判定规则进行形式化描述;其次,针对传统的路径分析存在的状态空间爆炸问题,提出了一个新的程序中间表示——漏洞可执行路径集,以压缩程序状态空间。在该模型的基础上,设计了一个基于漏洞可执行路径集的软件漏洞静态检测框架,利用定义的漏洞语法规则求解漏洞可执行路径集上的漏洞相关节点集,利用漏洞判定规则对漏洞相关节点集进行判别得出漏洞报告。实验分析验证了该漏洞检测模型的正确性和可行性。     

基于二进制动态插装程序执行路径追踪

系统平台、编译器以及编译选项的差异,都可能会导致程序的源代码和编译得到的可执行代码之间存在语义差异,仅对源代码进行分析可能会遗漏隐藏在可执行代码里的漏洞。即使在源代码分析中验证了所需要的安全性质,也无法保证不违反可执行代码中的安全性质。本文基于一个二进制动态插装框架,设计并实现了一种对程序执行路径进行追踪的原型系统。实验证明,本系统在准确追踪执行路径的同时,能够过滤掉90%~99%的次要指令,极大提高了分析效率。最后,本文对其他的技术方案、现有原型系统的不足以及未来的工作进行了讨论。     

典型Adobe Flash Player漏洞简介与原理分析

随着Flash文件在网络上的应用日益广泛,Adobe Flash Player的安全问题受到人们越来越多的关注,它的每一个漏洞都有引发巨大安全问题的可能性.文章首先从Flash客户端技术和Flash三维可视化分析两个方面对Adobe Flash Player的运行机制进行了介绍,研究了ActionScript语言、Flash渲染模型、事件机制、Flash三维图形显示、Stage3D硬件加速和Stage3D三维建模的特性;接下来描述了SWF文件的格式信息,对SWF文件的文件头和标签结构进行介绍;然后结合CVE网站的统计信息,对Adobe Flash Player漏洞进行分类,将其划分为Flash文件格式漏洞、Flash拒绝服务漏洞、Flash跨站脚本攻击漏洞和Flash欺骗攻击漏洞等4大类;随后对漏洞分析技术进行了详细介绍,建立了针对Adobe Flash Player的漏洞分析技术模型;最后以10个典型的Adobe Flash Player漏洞作为实例,经过信息收集、数据流跟踪和漏洞原理分析等过程,得到了漏洞的产生机理.     

计算机漏洞库系统的设计、实现与应用

如何发现、修补和利用计算机漏洞，是网络攻防研究的焦点问题之一。本文首先对国内外的研究现状进行分析与综述，然后介绍了如何设计、实现计算机漏洞库系统，提出了运用CORBA分布对象技术定义和实现漏洞库信息的应用程序访问接口，基于事件模型完成漏洞补丁程序或应对措施在可信任计算机之间的自动推送，实现动态的系统漏洞分析与应对。     

面向漏洞类型的Crash分类研究

Crash（程序崩溃）分析是漏洞挖掘与利用的关键阶段，判定Crash是由何种类型漏洞产生的是进行Crash分析和漏洞利用的前提。针对现有漏洞检测平台无法有效识别Crash类型的问题，提出一种二进制可执行程序漏洞检测和Crash类型判定的方法。该方法通过对二进制可执行程序Fuzz出的Crash进行污点标记，在污点传播阶段兼顾污点清除、间接污染等污点传播规则，在污点检查阶段通过收集崩溃点上下文信息，匹配多种漏洞触发规则。基于上述方法开发出对二进制程序漏洞检测和判定Crash所属漏洞类型的原型系统，实验结果表明，该方法适用于栈溢出、格式化字符串、堆溢出等漏洞导致的覆盖返回地址、函数指针等模式，具有较高准确率。