基于C语言中库函数的展开形式的识别技术

提出了一种对二进制文件中的库函数的展开形式进行识别的方法。首先对二进制文件进行反汇编,然后对反汇编代码中的必然指令进行识别,最后利用IDA Pro的脚本语言IDC编写代码进行验证。     

基于程序流敏感的自修改代码混淆方法

自修改代码混淆方法是一种隐藏程序重要信息的有效技术。为减少代码混淆造成的额外开销而又不影响代码混淆的质量,利用程序流敏感分析方法选择比较重要的指令进行混淆。为提高代码混淆的质量,有效地防止反汇编,提出一个二步比较混淆模型。该模型包括两个子混淆器,混淆器1采用程序流敏感分析方法获得混淆的指令并产生两个混淆代码文件和一个混淆代码映射文件。混淆器2通过比较两个混淆代码文件精确地定位混淆指令在二进制代码中的位置,然后利用混淆代码映射文件对二进制代码进行混淆,以进一步提高代码混淆的质量。通过实验分析,混淆后二进制文件的额外开销只占整个代码的3%左右,并且混淆后的反汇编代码明显异于原始的反汇编代码,甚至出现了一些无法识别的错误指令。     

一种动静结合的代码反汇编框架

反汇编技术是二进制代码分析的基础,传统的静态反汇编方法存在着数据代码混编和间接跳转指令等带来的反汇编困难.为此,本文提出了一种动静结合的代码反汇编框架DTBC.在DTBC中,静态反汇编引擎根据传统反汇编算法实现代码的静态反汇编,通过代码分析技术标记程序中的敏感指令;符号执行引擎利用混合符号执行技术和约束求解器生成可达敏感指令的程序输入;动态仿真引擎模拟不同输入条件下的程序执行过程,通过监控代码的执行路径达到反汇编求精的目的.实验模拟的结果表明,DTBC能够有效提高代码反汇编的准确性和覆盖率.     

静态反汇编算法研究

恶意代码通常都是以二进制代码形式发布的,利用这种形式的代码来分析程序的逻辑功能是非常困难的,而如果利用反汇编器将二进制代码转化为较容易理解的汇编代码将更利于对恶意代码的分析,因而研究二进制代码的反汇编算法显得极为重要。首先介绍两种传统的静态反汇编算法：线性遍历和递归遍历算法,分析它们的优点以及存在的问题,最后介绍现代静态反汇编算法的一些新的研究进展。     

反汇编结果代码结构分析算法研究

反汇编结果的代码结构分析在程序解读、可执行程序编辑、软件维护、程序理解以及编译器设计中有重要的作用与意义.本文提出了一种对主流微处理器二进制代码逆向还原到汇编级代码后进行结构分析的算法,给出了该算法的形式化描述和结构分析结果的记录方法,并且根据该算法在二进制代码辅助分析系统中的应用情况,给出了实验数据.试验数据表明,该算法在多款处理器目标代码的分析过程中都有较高的结构分析准确度和执行效率.     

一种动静态结合的代码反汇编技术

为在不修改二进制代码的情况下提高反汇编的准确性和覆盖率,提出一种静态分析与动态仿真相结合的反汇编技术。在传统静态反汇编算法的基础上,利用代码仿真环境构造动态基本块标记算法,通过监控代码的执行路径达到反汇编求精的目的。测试结果证明了该方法的有效性。     

一种基于重定位信息的二次反汇编算法

反汇编技术是静态分析二进制程序的基础，目前广为采用的反汇编算法是线性扫描和递归行进算法。前者无法正确处理代码段中嵌入数据的情况，后者则必须解决间接跳转目的地址的预测问题。本文介绍了这两种算法的原理，分析了其存在的问题，并利用二进制文件中旬重定位信息对它们进行了优化。将优化后的两种方法结合起来，给出了一种新颖的二次反汇编算法，这种算法能够捕获反汇编过程中出错的情况，从而控制错误传播，并使得基于反汇编代码的应用可以针对出错情况进行相应的处理。     

目标代码指令集类型识别中的特征选取

介绍了指令集识别器的设计思想与实现流程。通过对大量二进制目标代码、汇编源代码和反汇编代码的统计研究,基于统计分类方法,提取代码结构中所体现的整体性特征和编程风格中所体现的规律性特征,形成了树形的识别特征指标体系。     

软件安全逆向分析中程序结构解析模型设计

提出了一种基于二进制文件的程序结构解析模型。该模型通过对二进制文件反汇编,去除汇编文件中的冗余信息,对汇编文件进行静态分析,构建带有索引依赖信息的基本块,并以该基本块为基础提取二进制程序的内部控制流与函数调用关系信息,最后给出程序内部控制流图以及函数调用关系图。该模型不依赖程序的源文件,以二进制文件为分析对象,实用性和通用性比较好;实验结果表明模型对二进制程序内部结构解析具有较高的准确性。     

基于IDA-Pro的软件逆向分析方法

二进制程序转换作为软件逆向分析的主要手段发挥着积极作用。该文给出一种程序转换方法,应用软件二进制程序经IDA Pro反汇编得汇编语言程序,依据下推自动机原理设计汇编文法识别该汇编文件、制定相应的转换规则和优化措施将汇编语言转换成中间语言。转换所得中间语言可读性较强,具有通用性且易于理解。该方法达到了较高的自动化程度,缩小了目标程序的代码量,其应用可有效地减少软件分析和调试人员在追踪代码时所需的时间和工作量。给出应用上述方法进行程序转换的实例。     

带类型注解的汇编器TAAS的设计与实现

给出了一种带类型注解的汇编器 TAAS的设计与实现 .TAAS分析带有类型注解的汇编代码 ,把类型注解映射进目标文件和可执行文件中 ,产生带有类型注解的二进制代码 ,同时不影响代码的执行语义 .TAAS分析 AT&T语法的汇编程序 ,产生 EL F格式的 x86机器代码 ,并且与 GNU as汇编器完全兼容     

U-Boot和Linux在Coldfire处理器MCF54452上的移植

设计了一款以MCF5442为主处理器的通用平台,在M5445EVB开发包的基础上调整了系统时钟、存储器系统、FEC、USB和外设部分的配置参数并修正了部分代码,成功地把U—Boot移植到目标板,在此基础上进一步移植Linux。系统在Linux下开发,并通过m68k-linux—gnu—gcc编译连接,利用Codewarrior完成U-Boot的代码烧写和早期调试。通过tftp下载等方法验证了U—Boot,随后通过Web浏览、文件系统操作、USB鼠标等方法证实了Linux系统能够在目标系统稳定运行。     

基于ELF文件的智能反汇编技术研究

智能反汇编技术关键在于代码和数据的分离,目前流行的递归扫描算法无法从根本上解决这个问题。本文在对AD-SP218X芯片ELF目标文件格式分析的基础上,提出了一种实现代码和数据分离的方法,能以较低时间和空间开销完成目标代码的反汇编。     

一种实现仪器菜单动态配置的方法

阐述了一种实现仪器菜单动态配置的方法：主应用程序调用相应的仪器菜单解析程序;解析程序解析菜单数据配置文件,并向主应用程序返回显示代码;显示代码经编译、链接,形成可执行的二进制文件;二进制文件运行后显示相应的仪器菜单。运用该方法可以方便灵活地修改仪器菜单显示界面。     

二进制文件相似性检测技术对比分析

传统的文件相似性检测技术是基于源代码的,针对源代码难以获取的情况,二进制文件比对技术被提出并受到越来越多的关注。总结和分析了四种二进制文件相似性检测技术和主流的检测工具。在提出了二进制文件克隆比对的评价方法的基础上进行了实验测试。该方法针对二进制文件克隆的分类方式,设计了实验流程和相似度的计算标准。结果表明对于连续克隆,不影响调用关系的分割克隆,不影响基本块数量和调用关系的等价替换克隆,采用二进制文件相似性检测比采用基于token的源代码文件相似性检测能得到更准确的检测结果。     

PE可执行程序中Main函数的定位技术

针对二进制代码分析中由于无符号表信息造成的难以定位主函数main()的问题,提出一种面向PE可执行程序的main函数定位方法。通过分析PE程序从入口点处开始的执行过程从而提炼相关模板,采用模板匹配的方法定位程序中主函数main()的地址。实验结果表明,该方法能够有效实现不同编译环境下PE可执行程序的main()函数定位,有助于提高二进制代码分析工具的分析能力。     

DSP外部Flash存储器的自烧写方式研究

阐述了Flash存储器在线编程的自烧写程序设计思想.被烧写目标文件作为数据嵌入到烧写程序中,经过编译链接生成最终的执行文件.运行烧写执行文件时,执行文件时将嵌入的目标数据烧写到Flash存储器中,从而实现在线或在系统编程.给出了相关程序的核心代码,并测试通过,可作为DSP嵌入式系统设计的参考.     

An object oriented fully 3D tomography visual toolkit

In this paper we present a modern object oriented component object model (COMM) C + + toolkit dedicated to fully 3D cone-beam tomography. The toolkit allows the display and visual manipulation of analytical phantoms, projection sets and volumetric data through a standard Windows graphical user interface. Data input/output is performed using proprietary file formats but import/export of industry standard file formats, including raw binary, Windows bitmap and AVI, ACR/NEMA DICOMM 3 and NCSA HDF is available. At the time of writing built-in implemented data manipulators include a basic phantom ray-tracer and a Matrox Genesis frame grabbing facility. A COMM plug-in interface is provided for user-defined custom backprojector algorithms: a simple Feldkamp ActiveX control, including source code, is provided as an example; our fast Feldkamp plug-in is also available.     

一种精简二进制代码的程序理解方法

精简二进制代码形式的软件是软件分析和程序理解需要处理的一类具有代表性的对象,基于高级语言源代码和调试符号信息的传统分析方法在处理此类软件时受到了极大限制。提出一种精简二进制形式软件的理解方法,首先将分析对象转变为运行期进程,引入实际运行中的进程信息;然后引入程序的行为特征,以程序表现出的外在行为和对外接口作为辅助信息,将此类外部特征映射到程序代码;最后基于切片思想和调试技术,获得程序切片并分析。这种方法为分析理解过程扩展了信息量,降低了复杂度,解决了分析此类软件时信息缺失和难以建立理解模型的问题。