Linux/Unix环境中ELF格式病毒的分析

结合Linux/Unix 病毒实例,分析了Linux/Unix 系统ELF文件格式病毒的原理,并从5个方面讲述了实现的关键技术:病毒体寄生ELF文件技术,寄主程序入口重定位,病毒体地址无关代码,LKM可重载内核技术以及网络功能的实现。最后,提出了对这一类病毒检测与防范的方法及策略。

基于策略嵌入和可信计算的完整性主动动态度量架构

针对已有的一些完整性度量方法在度量主动性、灵活性和运行效率等方面的不足,提出了基于策略嵌入和可信计算的完整性主动动态度量架构(PEDIAMA)。将度量策略嵌入到度量目标内部,因此不需要专门的内存空间来集中维护所有的策略,节省了策略的查询和维护成本,提高了运行效率。由于策略方便存取,制订灵活,不仅可以实时接收外部的度量请求,也可以依据内嵌的策略主动进行度量,主动防御性更强。同时,通过TPM硬件来保护度量架构和度量过程的安全,并对度量策略和相关度量结果进行签名保护,提高了整个系统的安全性。经过测试,PEDIAMA能够即时检测出针对运行实体的攻击,并且度量开销较小。

静态二进制翻译中回调函数逆向恢复技术研究

回调函数的逆向恢复是静态二进制翻译的一个难点。针对使用C后端的静态二进制翻译框架,提出并实现回调函数逆向恢复方法,该方法结合代码间隙分析,在后端C代码生成过程中插入映射源回调函数地址到目标机函数地址的代码。相对于使用解释器的方法,该方法具有实现简洁,在目标机上运行速度更快的优点。

反编译器中针对不同编译器的过程识别技术

过程识别技术及相关参数的提取是二进制翻译中过程调用恢复的基础。为较好实现对过程的识别,首先设计了针对GCC编译的ELF(executable and linkable format)文件的过程识别技术,取得了良好的效果。不过随着研究的深入,要求对C编译器和ICC(Intel C++compiler)编译器同时具有良好的支持,但在测试中发现这种识别技术在处理ICC编译的ELF程序指令流时存在的一些问题,为此提出了改进算法,这个算法已经在IA-64-Alpha反编译中实现,从而使系统对C编译器和ICC编译器编译的ELF文件都能进行正确的过程识别和参数提取。

无线传感器网络软件动态加载技术

以Arena操作系统的设计技术为基础,构建了一个适合无线传感器网络软件动态加载的总体设计方案,详细给出了动态对象加载器的接口设计技术。该设计减小了系统运行时的内核镜像,实现了系统在运行状态下动态加载和卸载软件模块的功能,同时保证系统长时间可靠运转并具备高可配置能力,从而有利于系统软件的升级和后期维护。模块动态加载实验验证了该设计方案的可行性。