Android应用逆向分析方法研究

Android移动设备和应用逐渐兴起,对Android应用进行逆向分析,有助于分析程序的工作原理,从而查明应用是否有害,是否威胁到设备使用人的信息安全。文章从分析流程、静态分析、动态调试、反逆向手段等几个方面阐明了如何逆向分析一个Android应用,以实现应用程序安全可控的目的。     

一种逆向程序流依赖性分析方法及其应用

本文提出一种基于逆向程序流分析的程序依赖性分析的形式化通用模型,它虽然基于一些很简单的概念与定义,但在程序测试、排错、维护、代码优化等多个方面有着广泛的应用。     

加密通信协议的一种逆向分析方法

研究未知通信协议逆向解析技术在网络安全中具有重要意义,现有方法局限于分析明文的通信协议。基于此,提出一种基于动态污点分析的加密通信协议逆向分析方法,以动态二进制插桩平台Pin为支撑,跟踪记录程序的指令轨迹,采用数据流分析构建指令级和函数级的污点传播流图,再根据解密过程的特征定位数据包解密后的明文,最后解析协议明文的格式。实验表明,该方法能够准确定位加密协议数据解密后的明文,还原加密协议原有的格式。     

基于逆向技术的恶意程序分析方法

逆向分析是恶意程序分析的常用方法之一,在揭示恶意程序意图及行为方面发挥着其他方法无法比拟的作用。着重从启动函数、函数参数传递、数据结构、控制语句、Windows API等方面归纳总结恶意程序反汇编代码一般规律,并结合一起利用恶意程序窃取QQ账号与密码的真实案例说明快速准确定位关键信息的具体方法。     

FTR—FOXBASE转换成RPG／400软件包

一、问题的提出IBM AS/400是IBM公司推出的界于超级微机与中型机之间的系列机型,可以说是目前IBM的主流机,它具有较高的性能价格比,深受广大用户的欢迎.RPG/400是AS/400上的一种数据处理语言,在国际上较为流行,它与SQL/400之间有非常好的接口,是AS/400的一种主语言.FOXBASE(FOXPRO、DBASE)是目前微机及其局域网上的被广大用户所采用的数据管理系统,能不能把FOXBASE转换成AS/400上的RPG/400是广大AS/400用户,特别是有过使用FOXBASE经验的用户所关心的问题,其原因有二个方面:     

针对微软中间语言的逆向分析

首先比较了微软中间语言（MSIL）与一般汇编的异同,并以元数据、指令特征、控制流和数据流分析为基础,提出了采用特征结构提取和虚拟执行两个手段来识别上层语言构块（变量、表达式和语句等）的方法。分析结果验证了该分析方法可有效地识别程序结构。     

基于不透明谓词的软件抗动态逆向分析研究

传统的不透明谓词对谓词内部逻辑结构进行复杂化,难以有效应对软件的动态逆向分析。通过插入运行环境检测代码并将检测结果返回给不透明谓词,动态选择分支路径使软件仅在安全环境下运行被保护代码,防止代码被动态分析。引入一般和关键节点概念,提高谓词内部逻辑结构的复杂度并使用形式化方法进行描述。实验证明,成功检测出虚拟机和调试器并避开了受保护代码;在静态指令统计上与使用变形隐匿的方法对比,具有更好的隐匿效果。     

软件安全逆向分析中程序结构解析模型设计

提出了一种基于二进制文件的程序结构解析模型。该模型通过对二进制文件反汇编,去除汇编文件中的冗余信息,对汇编文件进行静态分析,构建带有索引依赖信息的基本块,并以该基本块为基础提取二进制程序的内部控制流与函数调用关系信息,最后给出程序内部控制流图以及函数调用关系图。该模型不依赖程序的源文件,以二进制文件为分析对象,实用性和通用性比较好;实验结果表明模型对二进制程序内部结构解析具有较高的准确性。     

基于源代码分析的逆向建模

逆向建模通过对源代码进行分析,提取出代码中的对象信息、结构信息、流程信息等,生成对象间的关系描述、结构描述、系统流程描述等设计模型描述。逆向建模过程中对源代码的分析处理与编译过程的前端处理相似,只是处理的复杂程度与产生的目标结果不同,因此可以采用编译技术对源代码进行处理。通过逆向建模可以弥补软件设计中缺少或缺失的模型设计文档,帮助代码阅读者更好地理解程序,帮助软件的测试和优化。介绍了对C/C++源代码进行逆向建模的实现。     

软件逆向分析过程中基于OllyDbg的三种汇编代码定位方法

软件逆向分析技术在信息安全领域中发挥着至关重要的作用。软件逆向分析过程中,对汇编代码的定位速度极大地影响着工作效率。本文以Olly Dbg为调试工具,结合具体的实例,总结和分析了三种汇编代码定位思路。     

A System for Generating Reverse Engineering Tools: A Case Study of Software Modularisation

The paper presents a case study in the development of software modularisation tools. The tools are produced by using a system for developing code analysers that uses a database to store both a no-loss fine-grained intermediate representation and the analyses' results. The analysers are automatically generated from a high-level specification of the desired analyses expressed in a domain-oriented language. We use a program intermediate representation, called F(p), as the user-visible data base conceptual model. Analysers are specified in a declarative language, called F(p) – , which allows the specification of an analysis in the form of a traversal of an algebraic expression, with accesses to, and stores of, the database information the algebraic expression indexes. A foreign language interface allows the analysers to be embedded into C programs. This is useful, for example, to implement the user interface of an analyser or to facilitate interoperation of the generated analysers with pre-existing tools.     

基于逆向工程的软件漏洞挖掘技术

软件漏洞挖掘是网络攻防技术的重要组成部分。首先介绍了逆向工程技术的起源、作用和基于逆向工程的软件漏洞挖掘技术的研究路线;然后描述了四种基于逆向工程的软件漏洞挖掘技术的原理、特性、适用范围和优缺点;最后给出一个实例,示范如何基于逆向工程技术挖掘helpctr程序中存在的缓冲区溢出软件漏洞。     

逆向工程分析技术研究

近年来,许多组织面临着遗产系统的理解和演化问题,理解和演化遗产系统的问题在软件研究领域越来越重要。逆向工程通过提供一个对目标系统的设计和总体结构的较好的理解来辅助遗产系统的演化,是解决遗产系统问题的关键技术。文中介绍了逆向工程的定义,综述了逆向工程分析技术的研究进展,探讨了分析技术研究存在的不足之处,给出了未来的发展趋势。     

软件再工程助手

随着越来越多成功的软件系统成为遗留系统,软件再工程已日益显现其重要性。但对原系统理解的难度影响了软件工程师对原系统进行再工程的效率,特别是从源代码获取设计规约。在软件维护和软件再工程中大量的工作是围绕着源代码的变换,这种变换将程序代码文本或规约文本从一种形式转变成另一种形式,从而使其具有更好的可读性和可理解性。论文介绍了作者与英国DeMontfort大学的研究人员开发的一个非常方便的用于从程序抽取规约(也就是从源代码文本到规约文本的变换)的再工程助手(RA)工具,并使用RA进行一个实例研究。     

基于动态二进制分析的网络协议逆向解析

研究未知网络协议逆向解析技术在网络安全应用中具有重要的意义。基于此,介绍网络协议逆向解析技术的发展现状,分析基于网络轨迹和基于数据流的2种主要解析方法,提出一种基于动态二进制分析技术的逆向解析方法,并选取DynamoRIO平台作为支撑,实现对数据流信息的记录和分析,从而解析出单条协议消息中主要的协议域。     

基于可执行代码中间表示的控制流分析

为准确刻画程序的控制流和正确地提取程序控制结构,给出可执行代码控制流分析的整体架构和算法,阐述可执行代码反汇编结果的抽象表示、程序控制流构造等技术。反汇编结果抽象表示采用简化汇编语言中间表示(SAIR)以保证分析的简洁性和严密性。基于SAIR给出程序控制流构造函数,设计程序控制流构造算法并给出分析实例。     

融合自动化逆向和聚类分析的协议识别方法

网络流分类与协议识别是网络管理的前提和必要条件,但是越来越多加密协议的出现,使得传统的流分类方法失效。针对加密协议的协议识别问题,提出了一种融合自动化逆向分析技术和网络消息聚类分析技术的新型分类方法(automatic reverse and message analysis,ARCA)。该方法通过自动化逆向分析技术获得网络协议的结构特征;再利用网络消息聚类分析技术,获得网络协议的交互过程;最后将网络协议的结构特征与交互过程用于加密协议流量的识别和分类检测。该方法不依赖于网络包的内容检测,能够解决协议加密带来的识别问题。通过对多个加密协议(如迅雷、BT、QQ和GTalk等)真实流量的实验,其准确率和召回率分别高于96.9%和93.1%,而且只需要检测流量中0.9%的字节内容即可。因此,ARCA方法能够对各类加密协议流量进行有效和快速的识别。     

基于正反向工程的模型驱动的软件开发过程研究

主要探讨基于正反向工程的模型驱动的软件开发过程。本文把建模过程分为系统建模与数据库建模两个过程,首先介绍了两款主流的建模工具,然后给出这两款建模工具的建模流程,并且阐述在正反向工程中选择建模工具的依据;其次,以PowerDesigner为例叙述了具体的基于建模工具的开发流程;最后,给出结论。