基于数据流特征的比较类函数识别方法
嵌入式设备已经随处可见,它们常常出现在安全领域的关键位置和靠近终端的隐私场所.然而,最近的研究表明,很多嵌入式设备存在后门,发现最多的为硬编码后门(即口令后门).在口令后门的触发过程中,字符串比较函数(比较类函数)是不可或缺的,其重要性不言而喻.目前,针对比较类函数的识别主要借助于函数签名和控制流特征的匹配,前者不适用于对未知的比较类函数进行识别,并且受编译环境的影响较大,后者具有较高的误报率和漏报率.针对上述问题,提出了一种新颖的比较类函数识别方法CM PSeek.该方法在函数控制流的基础上,对比较类函数的数据流特征进行分析并构建了识别模型,用于对二进制程序中比较类函数的识别,并且适用于剥离的二进制程序(Stripped Binary).此外,将二进制代码转换为中间语言VEX IR指令,以支持ARM,MIPS,PowerPC(PPC)和x86/64指令集.实验结果表明,当缺少源码、函数名等信息时,相比FLIRT和SaTC,CM PSeek在精准率和召回率上都有着更好的结果.
函数识别、数据流分析、特征匹配、字符串比较函数、二进制程序
49
TP393(计算技术、计算机技术)
科技委基础加强重点项目2019-JCJQ-ZD-113
2022-09-16(万方平台首次上网日期,不代表论文的发表时间)
共7页
326-332
