Pimflo:基于过程解释的恶意函数定位方法

恶意软件的关键模块定位是逆向工程中的重要环节,然而目前大多数研究集中在判别程序是否恶意,少有研究对关键恶意模块进行定位,并且存在自动化定位难度高、定位过程难解释的问题.为此,本文提出了基于过程解释的恶意函数定位方法Pimflo,从具体的内存信息出发进行恶意识别和定位.Pimflo利用动态沙箱对目标二进制进行内存取证,基于签名技术识别可疑行为,追溯其相关的进程调用和堆栈信息.通过反汇编目标程序生成控制流图(CFG),还原可疑行为调用链,追溯和定位恶意源函数.本文在VIRUSSHARE的100个样本上对Pimflo进行了评估,实验证明Pimflo的恶意函数定位准确率可达90.28%,其解释性和逻辑性优于基于统计的非标量现有框架,为恶意软件定位领域提供了更可靠的新方案.

考虑实时栈信息的静态切片工具

为了提高静态切片精度,本文结合程序抛出异常时产生的堆栈追踪信息进行程序执行轨迹的推测,找出那些确定没有执行的方法或语句,设计并实现考虑实时栈信息的Java程序静态切片工具。实验结果表明,该切片工具进一步减少搜索空间,可以提高普通静态切片方法的精度和效率。