基于指令交换的代码混淆方法

软件程序是按一定顺序排列的指令序列,指令的排列组合构成了千变万化的程序语义.指令顺序重排通常会相应地导致程序语义的变化,通过分析相邻指令序列的相对独立性,可以在不影响程序语义的前提下交换相邻指令序列,增大指令距离,改变程序特征,在一定程度上增加逆向分析代价.通过改进程序的形式化定义论证相邻指令交换的充分条件,采用模拟退火算法实现随机化的指令乱序混淆方法,并将指令乱序方法与虚拟机代码保护技术融合,实现基于指令乱序的虚拟机代码保护系统IS-VMP,使用加密算法实例进行系统测试,验证了指令乱序混淆算法的可行性与有效性.     

基于图变换的虚拟机保护增强方法

针对虚拟机框架不同模块连接之间的强固定性,提出一种基于图变换的虚拟机保护增强方法;首先将虚拟机结构框图转换为有向完全图,然后运用多重等价变换策略对完全图中节点模块进行等价变形,最后运用多样化虚拟机对不同节点模块进行嵌套保护;采用了混沌不透明谓词,跳转表和指令等价规则等关键技术实现了原型系统,通过实验验证了系统的可行性和方法的有效性.     

基于增强型虚拟机的软件保护技术

针对目前日益严峻的软件保护问题,对现有基于虚拟机的软件保护技术进行分析与研究,对虚拟机保护技术进行了改进,设计了一种增强型虚拟机软件保护技术。采用了虚拟花指令序列与虚拟指令模糊变换技术,并对虚拟机的虚拟指令系统做了改进,从而提高了虚拟机执行的复杂程度与迷惑程度,具有高强度的反逆向、防篡改、防破解的特点。实验分析表明,增强型虚拟机保护技术明显优于普通型虚拟机保护技术。     

基于动态数据流分析的虚拟机保护破解技术

由于虚拟机采用虚拟化技术和代码混淆技术,采用传统的逆向分析方法还原被虚拟机保护的算法时存在较大困难。为此,提出一种基于动态数据流分析的虚拟机保护破解方法。以动态二进制插桩平台Pin作为支撑,跟踪记录被虚拟机保护的算法在动态执行过程中的数据流信息,对记录的数据流信息进行整理分析,获取虚拟机指令的解释执行轨迹,还原程序的控制流图,根据轨迹信息对数据生成过程进行分层次、分阶段还原,并由分析人员结合控制流图和数据生成过程进行算法重构。实验结果证明,该方法能够正确还原程序的控制流和数据生成过程,辅助分析人员完成被保护算法的重构。     

Handler混淆增强的虚拟机保护方法

按照一定顺序执行虚拟指令处理函数（Handler）可完成程序关键代码的保护,其为软件逆向分析者攻击的重点对象。针对“动态提取,静态分析”的Handler攻击方法,提出一种基于Handler混淆增强的虚拟机保护方法。运用等价指令替换规则生成多种等价Handler序列,对所有Handler进行变长切分和随机乱序,通过构建跳转表对乱序序列进行重组,构建随机地址数组对Handler调度地址表和执行跳转表进行隐藏。实验和分析表明：多样化Handler生成、切分和乱序增加了动态提取和分析的难度,Handler地址表和跳转表的隐藏增加了抵御静态逆向分析的难度,从而提升了虚拟机保护强度。     

一种采用嵌套虚拟机的软件保护方案

随着逆向工程的发展,传统的众多保护方法已经不再适合现代软件保护的要求.给出了一种新的基于虚拟机的保护方案,将本地机器码译成虚拟指令并由虚拟机解释和执行,抽象了软件语义,使得逆向工程师极难理解高层原程序逻辑.此外,方案中采用了嵌套多重虚拟机技术,逆向工程师不把前一重突破就无法展开对下一重的分析,从而使得该软件保护方案极大提高了安全性.     

改进的基于底层虚拟机混淆器的指令混淆框架

针对底层虚拟机混淆器（OLLVM）在指令混淆层面只支持指令替换一种算法,且仅支持5种运算符和13种替换方案的问题,设计了一种改进版的指令混淆框架InsObf,以加强OLLVM指令层面的混淆效果。InsObf包含指令加花和指令替换,其中指令加花首先对基本块的指令进行依赖分析,然后插入叠加跳转和虚假循环两种花指令;指令替换在OLLVM的基础上,拓展至13种运算符,共计52种指令替换方案。在底层虚拟机（LLVM）上实现了框架原型后,通过实验表明,与OLLVM相比,InsObf在时间开销增长约10个百分点,空间开销增长约20个百分点的情况下,圈复杂度和抗逆向能力均可提高近4倍;与同样基于OLLVM改进的Armariris和Hikari相比,InsObf在同一量级的时空开销下,可以提供更高的代码复杂度。因此,InsObf可提供指令层级的有效保护。     

一种云计算环境下代理TCM密码功能的方法

云计算已经成为当前计算机技术的研究热点,经过验证,可信计算技术可以有效地解决云计算环境下数据传输的安全性。但是,由于负责提供密码服务的可信密码模块是一枚SOC芯片,其处理速度有限,不能适应云计算环境下频繁数据传输和多用户连接的情况。论文提出了一种云计算环境下的可信密码模块密码功能授权代理的实现方法,通过一级密钥认证授权和保护一级密钥的方法,将可信密码模块的加解密和签名功能代理到每个虚拟机中,每个虚拟机当中能够拥有一个轻量级的密码代理模块完成相关密码功能,提高了整个平台的密码业务处理效率。     

基于虚拟机的软件保护研究与设计

虚拟机技术一直是当今计算机安全领域研究的热点之一。从软件保护的角度出发,介绍了基于虚拟机的软件保护设计方案中的关键技术,并给出了一个范例,说明具体步骤和方法。该方法将保护对象细化为函数,给出了单函数识别的具体步骤和方法,利用基本的x86编码来构造虚拟机,对基本指令集采用基于字节码的加解密技术,此外还对各类指令进行了必要的模块化扩展以增加保护力度。目前国内对于虚拟机的保护技术处于起步阶段,因而对于虚拟机技术的理论基础研究和技术实践应用均具有较高的研究价值和发展空间。     

基于Xen平台的虚拟机安全监控系统的研究

针对虚拟机安全监控系统的灵活性和安全性不足的问题,在Xen平台上研发虚拟机安全监控系统来解决该问题.对Xen虚拟机技术和虚拟机监控技术进行了详细描述,对虚拟机安全监控系统的框架进行了详细分析,给出了系统安全决策模块和安全呼叫模块之间的协商机制,并给出了系统模块的部分实现.对系统安全工程人员和项目架构人员都具有积极的作用.     

基于Xen硬件虚拟机的安全通信机制研究

在深入分析Xen硬件虚拟机通信机制和网络安全控制技术的基础上,实现了Xen硬件虚拟机安全通信机制,它在虚拟机监控器上加入了一个安全服务器,同时在虚拟机进行网络通信的关键路径上添加安全检查模块,实现了虚拟机通信的访问控制,提高了虚拟域间通信的安全性。     

云环境下基于BN模型的虚拟机安全部署模型

针对云计算环境下多用户共享硬件资源带来的安全风险,提出了虚拟机安全邵署模型CVDBN,基于BN模 型设计了安全部署规则,以满足云计算环境下利益冲突用户对于虚拟机部署的安全隔离需求。最后设计了虚拟机安 全部署模块和安全部署算法。仿真实验结果证明了该模型和算法的有效性和可用性。     

虚拟计算平台远程可信认证技术研究

与传统的单机系统按照可信平台模块、可信BIOS、操作系统装载器、操作系统内核的信任链传递方式不同,虚拟化计算环境信任链按照可信平台模块、可信BIOS、虚拟机监控器和管理虚拟机、用户虚拟机装载器、用户虚拟机操作系统装载器、用户虚拟机操作系统内核的方式进行.文章对虚拟计算平台远程完整性验证的安全需求进行了分析.为防止恶意的虚拟机监控器篡改虚拟机的完整性证明,文章提出虚拟机平台和虚拟机管理器两级的深度认证.在对虚拟机认证过程中,远程挑战者需要通过虚拟机或者直接与虚拟平台建立联系来认证平台的虚拟机管理器层.为防止中间人攻击,文章提出将物理平台寄存器映射到各虚拟平台寄存器的方式解决虚拟机与物理平台的绑定问题.     

一个新的安全内核模型研究

利用保护环和安全内核的功能,提出了一种新的增强操作系统安全性的模型.新模型中,虚拟机监控器中被用来保护运行时安全内核.虚拟机监控器运行在有最高特权级的保护环上,安全内核和用户进程分别运行在次高特权级和最低特权级的保护环上.当次高特权级的安全内核试图写某些关键的系统资源时,写操作必须经过运行于最高特权级的虚拟机监控器的验证和许可.结果,该模型能够阻止恶意代码修改并绕过运行时安全内核.     

对超粒度混杂技术的改进：基于瘦虚拟机的指令集交替技术

超粒度混杂技术对于小型解密程序效率低下,为此提出了基于瘦虚拟机的指令集交替技术。该技术使用一个自动机来记录程序加密和解密的方法,并且使用瘦虚拟机来完成对加密过的程序解释执行。测试结果表时,该技术在保证加密强度的条件下,对效率有较大的提高。     

基于可信平台模块的虚拟机安全协议

为了保证虚拟机间通信的安全,存取控制是经常采用的手段。但是存取控制的灵活性和扩展性都有一定的限制。为了克服这一局限性,本文提出了一套针对虚拟机系统的安全协议。安全协议以可信平台模块作为可信根,建立起从底层硬件到虚拟机中应用的信任路径,从而有效并安全地实现了密钥及证书的发放、身份认证、虚拟机间保密通信和密钥及证书更新的功能。此外,本文在Xen中成功实现了这套安全协议。     

基于linux的虚拟蜜罐系统的实现

蜜罐(又称为黑客诱骗技术)是基于主动防御理论而提出来的,在监测入侵、保护客体、信息反馈、提高反击入侵能力的网络安全系统中,日益受到重视。本文针对HONEYD能在一台物理机器上创建大量的虚拟蜜罐,从逻辑结构、不同网络数据包的处理、通过脚本语言的实现等分析了在linux环境下创建虚拟蜜罐的方法和步骤。     

电力信息安全实验室攻防演练平台的设计与应用

随着电力公司信息化快速发展,特别是SG-ERP的实施,信息系统的基础性、全局性作用越来越强。文章论述了信息安全攻防演练平台采用的基于Hook的主机监视技术、隐藏技术、虚拟机管理技术。文章通过对信息安全现状的需求分析,给出了信息安全攻防演练平台的总体架构和各部分功能描述,重点讲述了管理模块、攻防考试模块、培训演练模块和数据日志模块的构成及其设计与实现过程。通过对系统的运行进行测试,验证了各项功能的合理性和可用性。     

虚拟可信平台模块动态信任扩展方法

将可信计算技术应用到虚拟计算系统中,可以在云计算、网络功能虚拟化（network function virtualization,简称NFV）等场景下,提供基于硬件的可信保护功能.软件实现的虚拟可信平台模块（virtual trused platform module,简称vTPM）基于一个物理TPM（physical TPM,简称pTPM）,可让每个虚拟机拥有自己专属的TPM,但需要将对pTPM的信任扩展到vTPM上.现有方法主要采用证书链来进行扩展,但在虚拟机及其vTPM被迁移后,需要重新申请vTPM的身份密钥证书,可能会存在大量的短命证书,成本较高,且不能及时撤销旧pTPM对vTPM的信任扩展,也不能提供前向安全保证.提出了一种vTPM动态信任扩展（dynamic trust extension,简称DTE）方法,以满足虚拟机频繁迁移的需求.DTE将vTPM看作是pTPM的一个代理,vTPM每次进行远程证明时,需从一个认证服务器（authenticaiton server,简称AS）处获得一个有效的时间令牌.DTE在vTPM和pTPM之间建立了紧密的安全绑定关系,同时又能明显区分两种不同安全强度的TPM.在DTE里,vTPM被迁移后,无需重新获取身份秘钥证书,旧pTPM可及时撤销对vTPM的信任扩展,而且DTE可提供前向安全性.从原型系统及其性能测试与分析来看,DTE是可行的.