二进制代码中函数混淆调用的识别被引量：2

Identification of obfuscated function calls in binaries

下载PDF

导出

摘要函数调用相关信息识别是二进制代码静态分析的基础,也是恶意代码分析的重要线索。二进制代码混淆技术通过对函数调用指令call、参数传递过程和调用返回过程的混淆来隐藏代码中函数的信息。这大大增加了程序逆向分析的难度,此技术被广泛应用在变形和多态病毒中,使其逃脱杀毒软件的查杀。论文给出了一种静态分析方法,引入了抽象栈图的概念,给出了其构造算法,利用它能够有效识别出代码中对函数调用的混淆。 Identification of information about functions forms the base of static binary analysis and malicious code detection.A heuristic approach to detect metamorphic virus is to examine the calls a binary makes to the operating system.To avoid this,malicious code programmers hide the information about functions using a variety of obfuscations,including substitution of call with another equivalent instruction sequences,changing the normal form of parameters passing and returning process.These obfuscation methods introduce much difficulty for reverse code analysis.To deal with the problem,this article presents a static method which can detect obfuscated function calls in a binary efficiently.

作者曾鸣赵荣彩

机构地区中国人民解放军信息工程大学计算机科学与技术系

出处《计算机工程与应用》 CSCD 北大核心 2007年第17期24-28,共5页 Computer Engineering and Applications

基金国家高技术研究发展计划(863) (the National High- Tech Research and Development Plan of China under Grant No.2003AA146010)

关键词代码混淆恶意软件静态分析变形病毒 code obfuscation malicious code static analysis metamorphic viruse

分类号 TP309 [自动化与计算机技术—计算机系统结构]

引文网络
相关文献

参考文献6

1W32.Cabanas[EB/OL].[2004].http://securityresponse.symantec.com/avcentor/venc/data/w32.cabanas.html.
2W32/Chiton[EB/OL].[2004].http://www.virusbtn.com/resources/viruses/indepth/gemini.xml.
3Symantec.Understanding heuristics:symantec's bloodhound technology[EB/OL.[2004].http://www.symantec.com/avcenter/reference/heuristc.pdf.
4Szor P,Ferric P.Hunting for metamorphic[C]//Virus Bulletin Conference,Prague,2001.
5Linn C,Debray S.Obfuscation of executable code to improve resistance to static disassembly[C]//Proceedings of the 10th ACM Conference on Computer and Communication Security,2003.
6Murawski A S.About the undecidability of program equivalence in finitary languages with state[J].ACM Transactions on Computational Losic,2004.

同被引文献18

1陆虎,薛万宇,徐景.移动代理Aglet体系安全性的改进与实现[J].微计算机信息,2007,23(3):72-73. 被引量：4
2周瑞平,雷涛,朱虹.反编译中的库函数识别的实现研究[J].计算机应用研究,2004,21(12):34-35. 被引量：5
3汪小飞,赵克佳,田祖伟.数据流分析的关键技术研究[J].计算机科学,2005,32(12):91-93. 被引量：10
4胡政,陈凯明.C++逆编译中库函数识别研究[J].计算机工程与应用,2006,42(3):66-68. 被引量：8
5齐宁,付文,赵荣彩.二进制翻译中的库函数识别技术研究[J].计算机应用,2006,26(4):983-985. 被引量：10
6刘木兰.密钥共享体制与安全多方计算[J].北京电子科技学院学报,2006,14(4):1-8. 被引量：4
7李勇,左志宏.目标代码混淆技术综述[J].计算机技术与发展,2007,17(4):125-127. 被引量：10
8Tenenhouse D L, Wetherall D. Towards an Active Network Architectuer. Multimedia Computing and Networking:1996.
9Hohl f. Time limited blackbox security, protecting mobile agents from malicious hosts:1998.
10翟慧李超林.移动代理的安全性分析.网络通讯与安全,2007,:371-372.

引证文献2

1李鑫,戚宇林.主动网络技术中主动报文的保护方法[J].通信技术,2009,42(4):142-144.
2张龙杰,谢晓方,袁胜智,李洪周.逆编译中用户自定义库函数识别技术研究[J].现代电子技术,2009,32(14):120-123. 被引量：2

二级引证文献2

1唐虹,李明,杨阳.汽车线束图纸的自动识别方法[J].现代电子技术,2011,34(1):160-163. 被引量：5
2秦艳锋,王清贤,曾勇军,奚琪.反编译中的库函数识别技术研究[J].东南大学学报（自然科学版）,2012,42(A02):256-260. 被引量：1

1陈共龙.恶意代码分析技术综述[J].无线互联科技,2014,11(3):113-114. 被引量：1
2翁雪城,杨云江.恶意代码的分析与检测技术的研究[J].科技资讯,2012,10(5):19-20. 被引量：3
3舒辉,李政廉,康绯,张媛媛.基于环境智能匹配的恶意代码完整性分析方法[J].计算机工程与设计,2015,36(2):341-345.
4任子亭.基于网络的恶意代码分析系统设计与实现[J].价值工程,2012,31(35):190-192. 被引量：2
5韩双旺.基于ASP.NET的动态网站验证码功能的实现![J].中央民族大学学报（自然科学版）,2012,21(3):48-52. 被引量：2
6周正虎,陈丹,周光霞,赵鑫.基于病毒多态性的Java软件水印技术[J].计算机与数字工程,2011,39(11):97-100. 被引量：2
7冯晓荣,林军,麦松涛.一种改进的面向移动数据安全检测的文本分类模型[J].微型机与应用,2017,36(8):1-4. 被引量：2
8王力,万园春,邱卫东.基于蜜罐的Android恶意代码动态分析[J].微型电脑应用,2016,32(11):50-53. 被引量：4
9王玉玺,周文军,杨剑.针对客户端的恶意代码分析[J].河北大学学报（自然科学版）,2015,35(2):193-198.
10傅德胜,史飞悦.缓冲区溢出利用与保护防御方法[J].信息安全与技术,2012,3(9):44-46.

计算机工程与应用

2007年第17期

浏览历史

内容加载中请稍等...

二进制代码中函数混淆调用的识别被引量：2

参考文献6

同被引文献18

引证文献2

二级引证文献2

相关作者

相关机构

相关主题

浏览历史

二进制代码中函数混淆调用的识别 被引量：2

参考文献6

同被引文献18

引证文献2

二级引证文献2

相关作者

相关机构

相关主题

浏览历史

二进制代码中函数混淆调用的识别被引量：2