基于动态二进制分析的密码算法识别

针对网络安全领域中应用程序内部密码算法识别问题,提出一种基于动态二进制分析的密码算法识别方法。该方法以二进制分析平台DynamoRIO作为支撑,动态记录程序执行期间的数据信息,并综合利用基于统计特征的过滤和分类、基于密码算法常数特征的匹配以及基于数据流分析的函数参数识别等技术,对密码算法进行识别。测试结果表明,该方法能够迅速识别并准确定位应用程序中所使用的密码算法。     

基于动态循环信息熵的密码函数筛选技术

二进制代码中的密码算法识别与筛选对于恶意软件分析、密码算法应用安全性验证有着重要意义。分析了密码函数代码实现中内存数据操作特征和基本块循环结构特征,根据二进制数据的信息熵理论,实验验证了密码算法内存操作数据的高熵值特性,构建了基于动态循环信息熵的密码函数筛选模型,并采用动静结合的方法重构基本块循环中的动态读写内存数据。测试结果表明了筛选模型的可靠性和准确性。     

基于Bayes决策的密码算法识别技术

在可执行代码中识别密码算法对于查找恶意代码、保护计算机系统安全有着重要的意义。该文在对汇编级密码算法特征分析的基础上,提出了汇编级密码算法特征度量元的概念,并采用七维特征向量对其进行形式化描述,建立基于Bayes决策的密码算法识别模型,测试结果表明该模型稳定、准确,能够高效地定位代码中的密码算法。     

目标代码指令集类型识别中的特征选取

介绍了指令集识别器的设计思想与实现流程。通过对大量二进制目标代码、汇编源代码和反汇编代码的统计研究,基于统计分类方法,提取代码结构中所体现的整体性特征和编程风格中所体现的规律性特征,形成了树形的识别特征指标体系。     

二进制代码中函数混淆调用的识别

函数调用相关信息识别是二进制代码静态分析的基础,也是恶意代码分析的重要线索。二进制代码混淆技术通过对函数调用指令call、参数传递过程和调用返回过程的混淆来隐藏代码中函数的信息。这大大增加了程序逆向分析的难度,此技术被广泛应用在变形和多态病毒中,使其逃脱杀毒软件的查杀。论文给出了一种静态分析方法,引入了抽象栈图的概念,给出了其构造算法,利用它能够有效识别出代码中对函数调用的混淆。     

将局部二进制模式应用于动态纹理识别的新方法

动态纹理的处理、描述与识别是纹理分析的热门领域。动态纹理是对普通纹理在时间域方面的扩展,包括动态特征和静态特征。基于LBP算法的扩展提出的VLBP算法较好的描述了动态纹理特征,但是计算量过大,模板过多。本文提出了一种由VLBP算法改进的基于局部二进制运动模式的特征提取方法用以动态纹理的描述和识别,它包括提取动态特征和提取静态特征两部分。将LBP算子做为块匹配准则提取局部二进制运动模式柱状图做为动态特征的描述,提取LBP柱状图做为静态特征的描述,并将二者连接得出描述动态纹理特征的联合的局部二进制运动模式柱状图。通过对DynTex集实验的结果表明,本文提出的方法在性能和识别率方面均要优于VLBP。     

静态反汇编算法研究

恶意代码通常都是以二进制代码形式发布的,利用这种形式的代码来分析程序的逻辑功能是非常困难的,而如果利用反汇编器将二进制代码转化为较容易理解的汇编代码将更利于对恶意代码的分析,因而研究二进制代码的反汇编算法显得极为重要。首先介绍两种传统的静态反汇编算法：线性遍历和递归遍历算法,分析它们的优点以及存在的问题,最后介绍现代静态反汇编算法的一些新的研究进展。     

BCH码迭代译码算法及软件实现方法

结合BCH码的特点,重点研究了BCH码中BM迭代译码算法的基本原理,对二进制BCH码与非二进制BCH码作了简单的比较,给出了算法的关键代码。根据BM迭代译码算法的基本步骤,采用三级流水算法结构并对实际应用的缩短码(50,32)(纠二检四)译码进行分析,同时阐明如何应用C/C 语言实现该算法。     

改进的基于内容的文件类型识别算法

在现有基于内容的文件类型识别算法基础上,针对统计特征提取方面存在的问题,采用定长和变长窗口对文件二进制内容进行划分,提取文件的统计特征,并提出将特征选择应用于文件类型识别,结合特征的广度和稳定度设计出一种特征选择评估函数选择标志特征,从而建立文件类型模型,以此为标准识别文件类型.该算法不依靠特定文件类型的结构和关键标识...     

面向特征的信息隐藏检测研究

本文研究了图像信息隐藏中针对结构隐藏和对软件特征码的特征识别技术,根据特征的多段、多选项性质提出特征分层思想,在此基础上建立了特征识别算法。它用特征搜索引擎解析特征数据库,扩大了能处理的特征范围,简便快速高效,避免了为每个复杂特征分别编写代码造成的问题。     

计算机病毒与反病毒检测系统技术分析

针对计算机被病毒感染和破坏造成严重损失,在分析了计算机病毒的特征和反病毒检测系统技术的基础上,提出了一种高效的病毒特征检测机制.首先,例举先进的反病毒技术有实时扫描技术,启发式代码扫描技术,虚拟机技术和主动内核技术等;然后,分析了二进制可执行病毒脚本病毒和宏病毒的特征提取技术,设计出一个简单蜜罐系统来获取病毒样本;其次,为了解决特征代码不能检测未知病毒的问题,对引擎做了改进,提出了一种融合AC自动机匹配算法和BM算法的ACBM多模式匹配算法.算法在匹配病毒特征时,具有效率高,速度快和准确度高的特点,以特征代码法为基础杀毒软件是病毒检测系统是下一步研究目标.     

一种动静态结合的代码反汇编技术

为在不修改二进制代码的情况下提高反汇编的准确性和覆盖率,提出一种静态分析与动态仿真相结合的反汇编技术。在传统静态反汇编算法的基础上,利用代码仿真环境构造动态基本块标记算法,通过监控代码的执行路径达到反汇编求精的目的。测试结果证明了该方法的有效性。     

一种针对网络设备的已知漏洞定位方法

骨干级网络设备作为关键基础设施, 一直是网络攻防中的焦点, 与此同时, 其作为一个封闭、复杂的信息系统, 漏洞的公开研究资料相对较少、漏洞细节缺失较多。补丁对比是一种有效的漏洞分析手段, 而骨干级网络设备固件解包后通常具有单体式可执行文件, 这类文件具有函数数量多、文件规模大、调试符号信息缺失等特点, 直接进行补丁比对会产生大量待确认的误报差异, 同时启发式算法可能将两个不相关的函数错误匹配, 导致正确的安全修补缺失及漏报。传统的补丁比对方法无法有效地解决这类文件的补丁分析问题, 漏洞细节的分析遇到挑战。本文提出了一种针对单体式可执行文件中已知漏洞的定位方法MDiff, 通过漏洞公告描述中的子系统概念与目标二进制文件的内部模块结构对目标进行了拆分, 在基于局部性的二进制比对技术之上, 利用语义相似度衡量方法对比对结果进行筛选排序。具体来讲, MDiff首先利用入口函数及局部性原理识别存在漏洞的网络协议服务代码, 即粗粒度定位阶段。其次针对已识别出的、存在漏洞的网络协议服务代码模块中存在差异的函数进行动静态结合的语义信息分析, 包括基于扩展局部轨迹的安全修补识别, 基于代码度量的安全修补排序等步骤, 即细粒度定位阶段。基于该两阶段漏洞定位方法, 我们实现了一个原型系统, 对4个厂商设备中已经披露的15个漏洞进行实验。实验结果表明, 本文提出的漏洞定位方法可以提高网络设备的补丁分析效率, 支持研究人员发现已知漏洞细节。     

LLVM-based static analysis tool using type and effect systems

The intent of this paper is to describe a static analysis tool under development. The main idea behind the design of this tool is to use type and effect systems for static analysis of real programs. The tool uses LLVM bitcode files as input, thus extending the set of analyzed languages to those supported by LLVM compiler infrastructure. It uses its own parser of bitcode files and a program model similar to that of LLVM. The approach taken is to research feasibility of designing instruments for static analysis by applying known type and effect system based algorithms for detecting defects to LLVM bitcode language and effectively to original source code.     

基于单程分裂与归并图像分割的集装箱号识别

集装箱号自动识别在海关物流管理等领域有着重要的实用价值。为了快速准确的地进行集装箱号识别,提出了一种基于图像分割和区域特征分析的集装箱号字符定位和识别方法。该方法首先基于灰度相似性运用改进的单程分裂与归并算法对图像进行自适应阈值分割,同时统计各个区域的灰度、形状、边缘强度等特征;然后根据字符区域特征,利用一定规则来滤除非字符区域;最后,对于定位出的字符区域,再依据区域特征进行二值化,并采用神经网络与模板匹配相结合的方法进行识别。在包含1 804幅图像的集装箱号识别实验中,整箱号识别正确的为1 750幅,准确率为97.01%,这充分说明了算法的有效性。     

基于结构化指纹的恶意代码变种分析*

提出了一种基于结构化指纹的静态分析模型,用于辅助逆向工作者对恶意代码及其变种进行分析.该方法依据所提取的恶意代码及其变种的结构化指纹特征,在调用图和控制流图两个层次对两个文件进行同构比较,找出发生改变的函数以及发生改变的基本块,从而帮助逆向工作者迅速定位和发现恶意代码及其变种的不同之处,便于进一步分析.该模型采用了结构化特征及素数乘积等方法,可以较好地对抗一些常见的代码迷惑手段,从而识别出一些变形的代码是等价的.     

基于数据挖掘技术的加壳PE程序识别方法

恶意代码大量快速的繁衍使得恶意代码自动化检测成为必然趋势,加壳程序识别是恶意代码分析的一个必要步骤。为识别加壳可执行程序,提出一种基于数据挖掘技术的自动化加壳程序识别方法,该方法提取和选取可移植可执行(PE)特征,使用分类算法检测PE文件是否加壳。测试结果表明,在使用J48分类器时加壳文件识别率为98.7%。     

Unknown malcode detection and the imbalance problem

The recent growth in network usage has motivated the creation of new malicious code for various purposes. Today’s signature-based antiviruses are very accurate for known malicious code, but can not detect new malicious code. Recently, classification algorithms were used successfully for the detection of unknown malicious code. But, these studies involved a test collection with a limited size and the same malicious: benign file ratio in both the training and test sets, a situation which does not reflect real-life conditions. We present a methodology for the detection of unknown malicious code, which examines concepts from text categorization, based on n-grams extraction from the binary code and feature selection. We performed an extensive evaluation, consisting of a test collection of more than 30,000 files, in which we investigated the class imbalance problem. In real-life scenarios, the malicious file content is expected to be low, about 10% of the total files. For practical purposes, it is unclear as to what the corresponding percentage in the training set should be. Our results indicate that greater than 95% accuracy can be achieved through the use of a training set that has a malicious file content of less than 33.3%.