一种用于Android应用的反控制混淆系统

Android恶意软件中的控制混淆技术,可以增加传统Android应用软件执行路径检测的难度,是目前代码静态分析的主要困难之一。针对该问题进行了研究,并设计系统DOCFDroid用于解决此问题。该系统在预处理阶段获取CFG关系矩阵,使用深度优先查找待分析路径集合;依据用户给定的源点集合和终节点集合得到粗糙路径;然后采用权重筛选的算法,可以有效地获取目标路径集合。在实验阶段以DroidBench 1.2为基础构建测试样本集,验证该方法的有效性。实验结果表明,该方法能有效抵抗控制流混淆带来的干扰,目标路径识别率可达95.31%。

基于控制流的代码混淆技术研究

为了提高基于垃圾代码的控制流混淆方法的优化效果,针对插入分支垃圾代码以及循环垃圾代码会引入大量额外开销的问题,从软件保护中代码混淆技术出发,对代码混淆技术的研究现状和原理、混淆算法攻击以及基于控制流混淆技术作了深入研究,提出一种基于Java代码控制混淆中插入垃圾代码的改进方法。新方法与基于垃圾代码的控制流混淆变换方法比较,结果表明,新方法增加了代码抵抗攻击者的静态分析的能力,增加了反编译以及逆向工程的难度,既达到了很好的防御逆向工程攻击的效果,又不会大量引入额外的系统开销。

基于垃圾代码的控制流混淆算法

针对控制流混淆会引入额外开销的问题,提出一种利用垃圾代码进行控制流混淆的算法。将分支垃圾代码算法和循环垃圾代码算法相结合,并引入Hash函数以限制代码的插入操作,从而控制代码长度的增长,降低程序分析的精确度,抵抗篡改攻击。实验结果表明,该算法能有效防御逆向工程攻击。

基于代码移动的二进制程序控制流混淆方法

代码混淆技术常被用于软件保护领域和恶意代码对抗分析.传统的代码混淆技术会使逆向分析者获得程序的全部二进制代码,因此存在一定的安全性问题.为缓解这一问题,提出了一种基于代码移动的二进制程序控制流混淆方法,将程序的重要控制逻辑代码移动至逆向分析者不可控的可信实体,以使本地代码控制流信息部分缺失,从而使得程序的关键行为无法通过推理获知;利用包含无初始意义操作数的非条件跳转指令替代条件跳转指令隐藏路径分支的分支条件和目标地址,以增大收集程序路径信息的难度.对该控制流混淆方法从强度、弹性和开销3个指标进行了技术评价.将所提混淆方法用于6个恶意软件触发条件的混淆并对混淆之后的恶意代码进行逆向分析实验,结果表明该混淆方法能够较好地抵抗基于静态分析和符号执行的逆向分析方法.

一种JAVA控制流混淆方案

在逆向分析的领域里,JAVA软件最需要保护的地方毫无疑问是整个软件的结构。本文在总结代码混淆领域中的一些混淆策略后,提出一个基于结构代码块的控制流混淆方案。该方案不是以基本代码块为基础来提出具体的混淆策略,而是从软件结构角度上,只对那些复杂的结构块进行混淆处理。该方案首先插入含有垃圾代码块的分支路径,然后以结构代码块为基础进行压扁操作。分析表明该方案具有较好的效率。

LLVM中间语言的控制流混淆方案

软件安全问题在后疫情时代越发突出,代码混淆作为一种成熟的保护方案,借助于LLVM提供了跨平台使用的可能性,但基于LLVM的控制流混淆算法在保护力度上有所局限,一方面是现有的算法模式固定,缺乏结构上的创新性,另一方面是混淆处理时,未考虑到攻击者可以根据基本块的入度进行虚假块的预先判断,存在容易被识别的风险,因此提出两种算法:首先是嵌套switch混淆,打破固有的扁平化处理模式,通过在内部重新构造switch结构,增强对跳转变量的隐藏;其次是入度混淆,在虚假控制流中添加防入度分析策略,通过改变虚假块的入度规避虚假块的识别问题。在LLVM10上实现了方案原型并进行实验,结果表明:混淆方法在1.5倍内的时空开销内,相较于已有的控制流混淆方案,可以进一步降低58.67%的程序基本块相似度,增加64.44%的跳转指令。

基于IDA microcode的控制流反混淆框架设计与实现

经O-LLVM混淆后的恶意软件存在控制流混乱、可读性差等分析难题,严重影响了安全人员对其进行逆向分析的质量与效率,因此O-LLVM反混淆已经成为二进制安全研究领域的重要研究方向之一。针对已有的O-LLVM反混淆框架只适用标准混淆器,且所支持指令集架构单一的问题,提出了兼容定制化混淆的真实块识别算法和复用块分割算法,通过结合中间语言IDA microcode设计与实现了反混淆框架BinDeob。采用中间语言带来了架构无关的优势,因此BinDeob同时支持ARM32、ARM64、x86、x64等多种指令集架构。在C/C++经典混淆基准和公开的高危安全漏洞数据集上的实验表明,经BinDeob反混淆得到的程序与原始未混淆程序的控制流程图相似度平均值为98.9%,优于参考文献中的反混淆框架,具有更出色的性能。另外,将伪代码相似度作为评估指标,原始程序源代码与BinDeob反混淆得到的伪代码相似度平均值为97.6%。

基于控制流混淆抵御算法的Android应用程序逆向分析研究

Android系统受逆向工程攻击,致使应用篡改和重新打包更加容易,严重影响了开发商的产权保护。代码混淆技术可以在不改变功能的情况下使逆向工程更难进行,从而达到保护应用程序的目的,而控制流混淆则是代码混淆中一种常见的技术,能够隐藏或更改应用程序的控制流结构,有效地保护应用程序。文章对Android Native层代码的混淆保护技术进行研究,得出Native层代码控制流混淆技术可以有效抵御逆向工程攻击的结论。

Win32平台下基于LLVM的代码混淆技术研究

代码混淆是一种有效的软件保护手段,通过对代码的混淆变换,提升了软件抗逆向能力。提出了一种Win32平台下基于LLVM的代码混淆方法,通过对编译器中间语言的混淆,实现了可控型控制流混淆与不透明谓词结合的混淆算法。将LLVM编译前端与Visual Studio集成开发环境结合,实现程序编译过程的自动混淆。实验表明,该方法能有效起到混淆程序的作用,并可实现混淆强度与执行开销的平衡。

一种基于增强型调度器的虚拟机软件保护方法

考虑到现有虚拟机的软件保护方法一般是通过改进虚拟指令处理函数(Handler)来提升保护强度,而调度器(Dispatcher)是除了Handler之外构成虚拟机保护框架的重要模块,为逆向分析者的重点攻击目标。针对Dispatcher模块易受静动态逆向攻击的问题,提出一种基于增强型Dispatcher的虚拟机软件保护方法。对Dispatcher模块中的指令序列进行多样化,切分所有指令序列。随机选择不同的指令片段进行控制流迭代混淆和加密。采用随机函数对指令片段进行连接,形成新的Dispatcher模块。实验表明,该方法在给受保护程序引入部分时间和空间开销下,能有效提升整体虚拟机保护框架的安全性。