具有时间多样性的JavaScript代码保护方法

Web应用同本地应用一样面临恶意主机威胁.如何确保暴露于用户主机中的Web应用核心算法或关键业务流程等重要信息的安全成为亟待解决的问题.针对现有JavaScript代码保护方法难以抵御动态分析且抗累积攻击效果差的问题,提出了一种具有时间多样性的JavaScript代码保护(TDJSP)方法.首先,通过程序多样化处理和路径空间模糊化,使JavaScript程序在执行时具有多样性效果,以有效抵御累积攻击;其次,检测调试器、模拟器等非正常执行环境的特征,并根据检测结果进行响应,增加攻击者进行动态分析的难度.理论分析和实验结果表明,JavaScript程序的抗逆向分析能力得到了提高,同时,其空间增长率约为3.1(优于JScrambler3),时间延迟为毫秒级.因此,该方法能够在不影响程序性能的前提下提升Web应用的安全性.     

基于增强型虚拟机的软件保护技术

针对目前日益严峻的软件保护问题,对现有基于虚拟机的软件保护技术进行分析与研究,对虚拟机保护技术进行了改进,设计了一种增强型虚拟机软件保护技术。采用了虚拟花指令序列与虚拟指令模糊变换技术,并对虚拟机的虚拟指令系统做了改进,从而提高了虚拟机执行的复杂程度与迷惑程度,具有高强度的反逆向、防篡改、防破解的特点。实验分析表明,增强型虚拟机保护技术明显优于普通型虚拟机保护技术。     

一种基于虚拟机Handler动态加解密的软件保护方法及实现

考虑到Handler序列为逆向分析者的重点攻击对象。针对Handler指令序列的内存转储分析以及起始和终止点的断点分析,提出一种基于虚拟机Handler动态加解密的软件保护方法,在基于虚拟机的软件保护方法上,增加加密和解密代码模块,并将所有Handler进行加密保存。当程序执行到某个Handler时,先将加密过的Handler进行解密并执行,执行完成后再次对其进行加密,直到所有Handler序列执行结束。实验和分析表明:该方法能够有效防止攻击者对于Handler的起始和终止位置进行断点调试分析和内存转储分析。     

代码混淆算法有效性评估

代码混淆是一种能够有效增加攻击者逆向分析和攻击代价的软件保护技术.然而,混淆算法的有效性评价和验证是代码混淆研究中亟待解决的重要问题.目前,对代码混淆有效性的研究大都是基于软件复杂性度量的,然而代码混淆作为一种保护软件安全的技术,更需要从逆向攻击的角度进行评估.将面向逆向工程的思想引入到代码混淆算法评估中,通过理论证明和具体实验验证了其可行性,该评估方法能够为混淆算法提供有效证明,并对判别和选择代码混淆算法具有指导意义,同时也有助于寻求更有效的代码混淆方法.     

一种采用嵌套虚拟机的软件保护方案

随着逆向工程的发展,传统的众多保护方法已经不再适合现代软件保护的要求.给出了一种新的基于虚拟机的保护方案,将本地机器码译成虚拟指令并由虚拟机解释和执行,抽象了软件语义,使得逆向工程师极难理解高层原程序逻辑.此外,方案中采用了嵌套多重虚拟机技术,逆向工程师不把前一重突破就无法展开对下一重的分析,从而使得该软件保护方案极大提高了安全性.     

一种针对Xen超级调用的入侵防护方法

云计算技术已飞速发展并被广泛应用,虚拟化作为云计算的重要支撑,提高了平台对资源的利用效率与管理能力。作为一款开源虚拟化软件,Xen独特的设计思想与优良的虚拟化性能使其被许多云服务商采用,然而Xen虚拟机监视器同样面临着许多安全问题。Xen为虚拟机提供的特权接口可能被虚拟机恶意代码利用,攻击者可以借此攻击Xen或者运行其上的虚拟机。文章针对Xen向虚拟机提供的超级调用接口面临被恶意虚拟机内核代码利用的问题,提出了一种基于执行路径的分析方法,用以追溯发起该超级调用的虚拟机执行路径,与一个最初的路径训练集进行对比,可以避免超级调用被恶意虚拟机内核代码利用。该方法通过追溯虚拟机内核堆栈信息,结合指令分析与虚拟机内核符号表信息,实现了虚拟化平台下对虚拟机执行路径的动态追踪与重构。在Xen下进行实验,通过创建新的虚拟机并让其单独运行来获得训练集,训练集中包含所有发起该超级调用的虚拟机路径信息。在随后虚拟机运行过程中针对该超级调用动态构造出对应的虚拟机执行路径,将其与训练集对比,避免非正常执行路径的超级调用发生。     

用于软件保护的代码混淆技术

对软件的盗版、篡改和逆向工程使软件的安全受到了严重威胁。攻击者通过静态分析和动态跟踪来分析编程者的思想，获取机密数据和核心算法。因此，保护程序在未知环境下正常运行，防止逆向工程和静态分析的攻击，成为软件保护的一个重要问题。文章从软件保护的方法出发，介绍和分析代码混淆技术的方法和目标，并指出了代码混淆技术的优势和发展趋势。     

一种软件保护虚拟机的指令解析器方案

未经处理的传统二进制可执行代码容易遭到静态分析、动态分析、逆向工程和篡改等恶意攻击。进程级虚拟机软件技术近年来被用于软件保护领域。本文描述一种新颖的进程级软件保护虚拟机指令解释器方案,该方案使用自定义的SEH(Structured Exception Handling,结构化异常处理)控制虚拟指令的获取。结果表明,该方案为虚拟机中其他保护手段提供了平台,并能在现有基础上增加逆向分析的难度。     

Handler混淆增强的虚拟机保护方法

按照一定顺序执行虚拟指令处理函数（Handler）可完成程序关键代码的保护,其为软件逆向分析者攻击的重点对象。针对“动态提取,静态分析”的Handler攻击方法,提出一种基于Handler混淆增强的虚拟机保护方法。运用等价指令替换规则生成多种等价Handler序列,对所有Handler进行变长切分和随机乱序,通过构建跳转表对乱序序列进行重组,构建随机地址数组对Handler调度地址表和执行跳转表进行隐藏。实验和分析表明：多样化Handler生成、切分和乱序增加了动态提取和分析的难度,Handler地址表和跳转表的隐藏增加了抵御静态逆向分析的难度,从而提升了虚拟机保护强度。     

一种基于USBKey加解密技术的软件保护方案研究

长期以来,软件保护技术的研究越来越得到人们的重视。文章首先调研了针对软件攻击的破解和逆向机制,对市场上比较成熟的保护软件功能及特征进行了对比分析,在此基础上完成了一种基于USBKev和PE加壳的软件保护方案设计,实现了针对1）E可执行软件的加壳保护、反调试和反逆向的功能,并引入了USBKey硬件授权机制,提高了软件保护的可行性和安全性。最后,通过测试数据验证了系统的功能及安全性等特征。     

面向进程多变体软件系统的攻击面定性建模分析

攻击面是衡量软件系统安全性的一个重要指标,采用攻击面描述可以通过集合的方式描述软件系统的安全性并对其进行度量。一般的攻击面模型基于I/O自动机模型对软件系统进行建模,其一般采用非冗余的架构,难以应用于类似多变体系统这类异构冗余的系统架构。Manadhatad等提出了一种在非相似余度系统中进行攻击面度量的方式,但其采用的系统架构表决粒度和表决方式与多变体系统不同,无法准确度量多变体系统的攻击面。因此,在传统攻击面模型基础上,结合多变体系统异构冗余架构的特点,对传统攻击面模型进行扩展,并构建多变体系统的攻击面模型;使用形式化方式表示多变体系统的攻击面,根据多变体系统在系统出口点处的表决机制对传统攻击面模型进行改进,以使其能解释多变体系统攻击面缩小的现象,通过该建模方式,能够说明采用多变体架构的多变体系统在运行过程中攻击面的变化。采用了两组多变体执行架构的软件系统进行实例分析,分别通过与未采用多变体架构的功能相同的软件系统在未受攻击和遭受攻击两种情境下进行攻击面的对比分析,体现多变体系统在攻击面上的变化。结合攻击面理论与多变体执行系统的特点提出了一种面向多变体执行系统的攻击面建模方法,目前可以定性分析多变体执行系统攻击面的变化,未来将在定量分析多变体执行系统攻击面的方向继续进行深入研究。     

针对AES的基于时间的缓存攻击

基于时间的缓存攻击是指通过分析处理器中算法的不同执行时间来恢复密钥的攻击。该文分析针对AES的时间驱动缓存攻击,给出一种改进的攻击,它可以应用于大多数的AES实现软件。在PentiumⅢ, OpenSSL v.0.9.8.(a)和Miracl环境下的实验发现,只需要224个时间信息就可以恢复出密钥,少于原攻击的228个时间信息数据。给出抵抗这种攻击的对策。     

基于动态分析的底层虚拟机混淆器反混淆方法

底层虚拟机混淆器（OLLVM）是一个著名的代码混淆工具,除了用于保护商业软件的安全外,也被恶意代码的开发者所利用,以此增加分析难度。为便于安全研究人员对ARM恶意程序进行分析,提出并实现了基于动态分析的OLLVM自动化反混淆方法。对于虚假控制流,根据不透明谓词的内存特征监控内存读写并利用动态污点分析技术识别虚假控制流来完成反混淆;对于控制流平坦化,通过动态运行程序并记录基本块的执行顺序来完成反混淆;同时利用多执行路径构造来提高代码覆盖率,最后通过指令修复还原基本块之间的关系。实验结果表明,该方法可准确消除可执行程序中因混淆产生的条件分支,且反混淆后得到的程序其运行结果与未混淆的程序保持一致,能有效完成对ARM混淆程序的反混淆工作。     

多核平台下XEN虚拟机动态调度算法研究

虚拟机调度算法对并行任务的执行效率考虑不够充分。现代处理器平台具备了多个可用的计算核心,使多个虚拟机并发执行成为了现实。针对多核平台下的并行虚拟机调度优化问题,提出一种基于任务特征虚拟机CON-Credit调度算法。该算法在调度并行任务时,使用动态方式对计算机核心进行分配,采用传统的虚拟机调度算法为执行普通任务的虚拟机进行分配;采用定制的同步算法给执行并行任务的虚拟机分进分配。相关实验显示,CON-Credit调度算法能显著提高并行任务的执行效率。     

基于BLINK的DCS手自动操作站的仿真及应用

仿真支撑系统的内核主要有模型数据库,算法数据库,模型的执行与调度,进程、线程的管理与调度等部分构成。仿真支撑软件对仿真机的开发、维护是至关重要的。在开发仿真机时,可以根据被仿真的对象或系统开发新的算法加载到算法数据库。讨论了基于仿真支撑软件Blink的DCS手自动操作站控制算法的仿真过程及步骤,并阐述了此算法在仿真机开发中的应用方法。     

基于攻击源激发和攻击原子筛选的攻击图构建方法

针对现有攻击图在大规模网络应用中存在的时间复杂性高和图形化展示凌乱等不足, 提出一种新的构建方法：在目标网络模型和攻击者模型的基础上, 以攻击源为起点广度遍历网络主机, 针对主机间的网络连接, 通过攻击模式实例化和信任关系获取攻击原子集, 并根据攻击者贪婪原则和攻击原子发生概率计算尺度筛选攻击原子, 同时更新攻击原子作用对象状态。通过实验分析, 该方法面向网络主机实现一次遍历, 筛选关键攻击原子, 快速生成攻击图, 不仅具有较高的时间效率, 而且为安全事件分析提供客观的攻击路径信息。该方法能够满足大规模网络环境下的攻击辅助决策、入侵检测和网络安全评估等应用需求。     

结合容错攻击和内存区域统计的ASLR绕过方法

ASLR是防御漏洞攻击的重要保护机制，而容错攻击是绕过ASLR的主要方法之一，即利用容错机制重复尝试搜索内存中的敏感信息。针对目前容错攻击的搜索算法耗时长导致实用性不强的问题，提出了一种结合容错攻击和内存区域统计的ASLR绕过方法。通过软件逆向深入分析容错攻击的原理，包括操作系统和浏览器等软件的容错机制内部实现和容错攻击实现方法；分析进程内存空间分布，统计不同区域的系统DLL分布的平均比例，选定最大概率内存区域搜索DLL并定位关键基址，从而绕过ASLR保护，实验结果证明该方法相对现有方法极大缩短了平均耗时和最大耗时，提高了容错攻击的实用性；探讨了容错攻击更多的应用前景。