-
题名基于数据流特征的比较类函数识别方法
- 1
-
-
作者
胡安祥
尹小康
朱肖雅
刘胜利
-
机构
数学工程与先进计算国家重点实验室(信息工程大学)
-
出处
《计算机科学》
CSCD
北大核心
2022年第9期326-332,共7页
-
基金
科技委基础加强重点项目(2019-JCJQ-ZD-113)。
-
文摘
嵌入式设备已经随处可见,它们常常出现在安全领域的关键位置和靠近终端的隐私场所。然而,最近的研究表明,很多嵌入式设备存在后门,发现最多的为硬编码后门(即口令后门)。在口令后门的触发过程中,字符串比较函数(比较类函数)是不可或缺的,其重要性不言而喻。目前,针对比较类函数的识别主要借助于函数签名和控制流特征的匹配,前者不适用于对未知的比较类函数进行识别,并且受编译环境的影响较大,后者具有较高的误报率和漏报率。针对上述问题,提出了一种新颖的比较类函数识别方法CMPSeek。该方法在函数控制流的基础上,对比较类函数的数据流特征进行分析并构建了识别模型,用于对二进制程序中比较类函数的识别,并且适用于剥离的二进制程序(Stripped Binary)。此外,将二进制代码转换为中间语言VEX IR指令,以支持ARM,MIPS,PowerPC(PPC)和x86/64指令集。实验结果表明,当缺少源码、函数名等信息时,相比FLIRT和SaTC,CMPSeek在精准率和召回率上都有着更好的结果。
-
关键词
函数识别
数据流分析
特征匹配
字符串比较函数
二进制程序
-
Keywords
Function identification
Data flow analysis
Feature matching
Strcmp-like function
Binary program
-
分类号
TP393
[自动化与计算机技术—计算机应用技术]
-
