静态二进制翻译中间接过程调用恢复技术研究

间接过程调用的恢复问题是静态二进制翻译中的难点之一。针对使用c后端的静态二进制翻译框架,提出并实现间接过程调用恢复方法,该方法结合代码间隙分析,在后端c代码生成过程中插入映射源过程地址到目标机过程地址的代码。相对于使用解释器的方法,该方法具有实现简洁、在目标机上运行速度更快的优点。     

静态二进制翻译中回调函数逆向恢复技术研究

回调函数的逆向恢复是静态二进制翻译的一个难点。针对使用C后端的静态二进制翻译框架,提出并实现回调函数逆向恢复方法,该方法结合代码间隙分析,在后端C代码生成过程中插入映射源回调函数地址到目标机函数地址的代码。相对于使用解释器的方法,该方法具有实现简洁,在目标机上运行速度更快的优点。     

中文WINDOWS 95系统中动态链接库程序的有效方法

中文WINDOWS 95系统中使用了大量动态链接库程序。由于使用动态链接库只需开发者在程序中调用库函数前,事先定义函数在库中地址指针或直接利用功能函数获取地址指针,在编译生成可执行文件时,目标代码中只包含动态链接库中函数的地址指针或获取函数地址指针的功能函数代码。所有应用程序可以共享同一目标动态函数库,而不象静态链接库那     

有效利用中文Win95下的动态链接库

一、Windows系统为何大量使用动态链接库 Windows 95和Windows 3.X系统中均使用了大量动态链接库。为使用动态链接库,开发者只需在程序中调用库函数前,事先定义函数在库中地址指针或直接利用功能函数获取地址指针,在编译生成可执行文件时,目标代码中只包含动     

如何在应用程序中有效利用中文WINDOWS95下的汉字支持核心动态链接库WINNLS.DLL

一、Windows系统为何大量使用动态链接库 WINDOWS95和WINDOWS3.X系统中均使用了大量动态链接库。由于使用动态链接库只需开发者在程序中调用库函数前,事先定义函数在库中地址指针或直接利用功能函数获取地址指针,在编译生成可执行文件时,目标代码中只包含动态链接库中函数的地址指针或获取函数地址指针的功能函数代码,所有应用程序可以共享同一目标动态函数库,而不像静态链接库那样,所有应用程序目标代码中均包含有完全相同的静态链接库函数代码。 此外应用程序在使用动态链接库时,系统只将动     

Tcl/Tk命令与C/C++的集成研究

针对Tcl/Tk脚本中需要调用C/C++函数的问题,简要说明了Tcl/Tk命令的运行机理,给出了一个使用Tcl/Tk命令来调用C/C++动态链接库(DLL)函数的方案,并给出了将C/C++DLL函数封装为Tcl/TkC库函数的解决方法。     

MATLAB与VC混合编程

1 VC调用Matlab程序的实现途径,VC调用Matlab程序的主要实现途径之一就是将Matlab)程序编译为VC可以调用的动态链接库(DLL),再由VC调用。Matlab的mcc编译器提供的功能保证了这一编译过程的可行性。而VC调用的方法主要有以下两种：①动态方法。即采用Win32 API的LoadLibrary、LoadLibraryEx或AfxLoadLibrary加载该DLL文件,再使用GetProcAddress查找并返回想要调用的函数地址,最后完成对该函数的调用。     

动态键接库输出函数的动态加载

一、引言 动态链接库(DLLs)是Windows操作系统的一个强大的特征,使用动态链接库可以大大节省内存,减少磁盘交换,节省磁盘空间,便于系统扩展.几乎所有的Windows开发工具都对动态链接库的API函数的调用提供了很好的支持.动态链接库输出函数的调用是Windows程序员必备的基本技能.     

DLL两个典型故障的解决技巧

什么是DLL?DLL就是动态链接库，它是包含函数和数据的模块的集合，程序文件(如.exe文件或．dll文件）在运行时加载这些模块(亦即所需的模块映射到调用进程的地址空间)下面两类函数定义了DLL——导出函数；这些函数由其他模块调用；内部函数：这些函数仅从定义它们的DLL中调用。DLL还导出数据，不过，这些数据由相应的函数使用，我们在使用电脑过程中，经常会遇见这样或那样的DLL错误，本文介绍——     

实现VB调用C程序动态链接库的方法

本文介绍了实现VB调用C语言程序的方法--动态链接库法,给出了动态链接库制作的一般框架、方法及其步骤。并详细描述了VB调用C程序的方法。     

基于库函数动态跟踪的Fuzzing测试方法

在分析库函数安全性的基础上,提出基于库函数动态跟踪的Fuzzing测试方法,通过动态跟踪目标程序对不安全库函数的调用,并在输入数据中搜索匹配函数调用参数,以此来准确定位错误注入点。设计并实现了基于该方法的测试工具,经过对漏洞软件测试的对比实验,验证了该方法的有效性和高效性。     

基于USB总线和LabWindows/CVI平台的电视跟踪性能测试仪

设计了基于FPGA和USB接口技术的新型电视跟踪性能测试仪。在介绍硬件设计方案的基础上,描述了生成模拟目标和判断跟踪状态的FPGA内部软件结构。选择LabWindows/CVI语言搭建测试仪的软件平台,并采用调用动态链接库的方法,完成了上位机和测试仪的USB通信软件设计。     

用Delphi4编写查询本机动态IP地址程序

由于在拨号上网时的 IP地址是由 ISP动态分配的 ,一般用户并不知道它的具体值 ,但在某些特殊的情况下 ,我们需要知道本机确切的 IP地址 ,因此介绍了用 Delphi 4编程 ,通过调用 Windows Sockets函数获取本机动态 IP地址的方法。     

面向物联网设备安全的多层次内核访问控制方法

物联网设备受能耗、计算能力等因素限制, 通常采用轻量化的操作系统以及精简化的安全保护机制, 导致物联网设备的操作系统安全保护能力不足, 更容易被用户态程序攻破。为了增强操作系统的隔离能力, 现有的安全保护方法通常限制应用程序可访问的系统调用种类, 使其仅能访问运行所必须的系统调用, 从而缩小操作系统的攻击面。然而, 现有的动态或者静态程序分析方法无法准确获取目标程序运行所依赖的系统调用。动态跟踪方法通过跟踪程序执行过程中触发的系统调用, 仅能获取程序依赖系统调用的子集, 以此作为依据的访问控制可能会影响程序的正常执行。而静态分析方法通常构造程序及其依赖库的控制流图并分析其可达的系统调用, 然而由于静态分析无法精准构建控制流图, 仅能获取目标程序依赖系统调用的超集, 会在访问控制中引入多余的系统调用, 造成操作系统攻击面依然较大。针对现有系统调用访问控制面临的可用性以及精准度问题, 研究多层次的内核访问控制方法, 在现有系统调用访问控制的基础上, 引入了动态链接库的访问控制, 并提出了多层联动的动态安全分析机制, 以动态分析的方法排除由于静态分析不准确引入的额外系统调用, 从而进一步缩小物联网系统的攻击面, 提升物联网设备的隔离能力与安全性。实验结果表明, 相比于现有内核访问控制方法, 本文提出的方法能够抵御更多漏洞而且引入的实时负载更低。     

动态链接库在数据采集系统中的一个应用

在实时系统的监测和控制过程中,为了达到数据采集的实时性和准确性．采用了编制动态链接库的方法,对数据采集卡进行读写操作。详细介绍了动态链接库的功能及编制过程,然后介绍了在直流调速系统中,利用动态链接库来连接数据采集系统和控制器的一个具体应用。直流调速系统的实际运行结果表明,使用动态链接库来对数据采集卡进行读写操作,能够保证数据采集的实时性和准确性,被控系统能够达到控制要求。     

A lightweight method for virtual machine introspection

A method for the introspection of virtual machines is proposed. The main distinctive feature of this method is that it makes it possible to obtain information about the system operation using the minimum knowledge about its internal organization. The proposed approach uses rarely changing parts of the application binary interface, such as identifiers and parameters of system calls, calling conventions, and the formats of executable files. The lightweight property of the introspection method is due to the minimization of the knowledge about the system and by its high performance. The introspection infrastructure is based on the QEMU emulator, version 2.8. Presently, monitoring the file operations, processes, and API function calls are implemented. The available introspection tools (RTKDSM, Panda, and DECAF) get data for the analysis using kernel structures. All the data obtained (addresses of structures, etc.) is written to special profiles. Since the addresses and offsets strongly depend not only on the version of the operating system but also on the parameters of its assembly, these tools have to store a large number of profiles. We propose to use parts of the application binary interface because they are rarely modified and it is often possible to use one profile for a family of OSs. The main idea underlying the proposed method is to intercept the system and library function calls and read parameters and returned values. The processor provides special instructions for calling system and user defined functions. The capabilities of QEMU are extended by an instrumentation mechanism to enable one to track each executed instruction and find the instructions of interest among them. When a system call occurs, the control is passed to the system call detector that checks the number of the call and decides to which module the job should be forwarded. In the case of an API function call, the situation is similar, but the API function detector checks the function address. An introspection tool consisting of a set of modules is developed. These modules are dynamic libraries that are plugged in QEMU. The modules can interact by exchanging data.     

基于地址随机和段隔离的全局偏移表保护方法

在可执行和可链接格式（ELF）的可执行程序中,存在一个全局偏移表（GOT）,用于存放引用库函数的绝对地址,但是在Linux系统中,GOT解引用和GOT覆写是两种比较常用的漏洞利用方法。通过分析GOT的特性,提出并实现了基于地址随机和段隔离的GOT保护方法。通过修改Linux的可执行程序加载器,将与GOT有数据指向关系的节均加载到随机内存地址;同时使用段隔离技术,对GOT的代码引用的指令使用一个新的段寄存器进行间接引用。实验结果证明,该方法不仅能够有效地防御针对GOT的漏洞利用方法,而且性能损耗极低,只有平均2.9 ms的额外开销。     

基于C#2.0调用Delphi7.0编写的动态链接库

通过基于C#2.0调用Delphi7.0编写的动态链接库,实现将汉字字符转换为相应的拼音码或五笔码的功能。软件程序的测试,证明,只要遵循一定的编码规则,不同语言编写的应用程序可以调用同一个动态链接库。     

基于代码碎片化的软件保护技术

针对当前软件保护技术存在的不足,提出一种代码碎片化技术,该技术是一种以函数为单元,对函数进行代码shell化、内存布局随机化、执行动态链接化的新型软件保护技术,代码shell化实现代码碎片的位置无关变形,内存布局随机化实现代码碎片的随机内存加载,动态链接化实现对代码碎片的动态执行,通过上述3个环节实现对程序的碎片化处理。实验表明,代码碎片化技术不仅能实现程序执行过程中函数碎片内存位置的随机化,还能实现函数碎片的动态链接执行,增加程序静态逆向分析和动态逆向调试的难度,提高程序的抗逆向分析能力。     

基于地址完整性检查的函数指针攻击检测

针对传统函数指针攻击检测技术无法检测面向返回编程(ROP)攻击的问题,提出了一种基于跳转地址完整性检查的新方法,在二进制代码层面能够检测多种类型的函数指针攻击。首先,通过静态分析得到函数地址信息,然后动态检查跳转目标地址是否位于合法函数区间。分析了非入口点跳转,提出一种动静结合方法检测ROP攻击。基于二进制代码插桩工具实现原型系统fpcheck,对真实攻击和正常程序进行了测试。实验结果表明fpcheck能够检测包括ROP在内的多种函数指针攻击,通过准确的检测策略,误报率显著下降,性能损失相比原始插桩仅升高10%~20%。