面向小程序的函数调用图构建方法

小程序以弱类型的JavaScript语言作为开发语言,对弱类型语言数据流和控制流的分析是准确构建函数调用图的关键.但由于小程序框架代码闭源,现有工具无法分析出其框架代码和业务代码交互的数据流和控制流信息,使其无法准确构建出函数调用图.为此本文提出了融合指针分析和关系图谱的小程序函数调用图构建方法,该方法先对文档知识进行抽取和融合构建初始关系图谱模型,再通过对代码逻辑数据流的分析来完善关系图谱,最后利用关系图谱整合和挖掘出的交互信息来指导指针分析算法对小程序函数调用图进行构建.基于该方法本文实现了小程序静态分析工具MiniDroid,实验表明MiniDroid构建的小程序函数调用图准确性达到89%,与现有工具相比提升了39%.MiniDroid对敏感API检测准确率为92%,相比于前人检测方法提升了14%.

一种结合动态与静态分析的函数调用图提取方法

完整准确地提取函数调用图是基于函数调用图进行恶意程序相似性分析的基础。为此,提出一种动静结合的恶意程序函数调用图提取方法。在对程序进行静态反汇编的基础上抽取恶意程序的可执行路径,使用隐藏信息主动发现策略找出恶意程序中隐藏的指令和函数调用,采用动态反馈机制完成动静结合分析过程中的信息同步。实验结果表明,该方法能够有效应对各种恶意程序反分析技术,完整准确地提取出恶意程序的函数调用图。

基于RTL的函数调用图生成工具CG-RTL

为了分析操作系统内核等大型软件的模块间函数调用关系,针对传统的函数调用关系生成工具不适用于模块间调用关系分析以及其依赖编译器具体特定版本等不足,提出一种基于寄存器传送语言(Register Transfer Language,RTL)的函数调用图生成方法,并根据该方法实现了一个生成模块间函数调用图的工具CG-RTL(call graph based on RTL,简称为CG-RTL).CGRTL首先从编译过程所生成的中间结果中提取出函数定义和调用关系信息,然后利用开源图形可视化工具Graphviz将其绘制出来,并最终将该功能集成到在线源代码浏览工具LXR中去.实验结果表明:通过该方法获得的函数调用关系与目标代码较为一致,而且可以分析用户指定模块间的函数调用关系,而且该方法同时可以生成相对应的函数调用关系列表,更加细致的描述函数调用关系.

基于内核跟踪的动态函数调用图生成方法

针对目前大多数的函数调用关系分析工具无法分析函数指针、系统启动过程以及可加载模块的函数调用关系的现象,在CG-RTL的基础上提出了基于内核跟踪的动态函数调用图生成方法,并开发了动态函数调用图生成工具DCG-RTL(dynamic call graph based on RTL)。DCG-RTL在S2E模拟器中运行待跟踪内核,通过指令捕获插件和函数解析插件记录运行时的函数调用和返回信息,分析跟踪信息得到动态和静态函数调用关系,利用CG-RTL工具在浏览器中展示。实验结果表明,DCG-RTL能全面和准确地跟踪包括函数指针引用和可加载内核模块在内的函数调用关系。

基于函数调用图的二进制程序相似性分析

现有基于函数调用图的程序二进制文件相似性分析方法在分析经混淆处理的复杂程序时存在准确度低的问题。针对该问题提出了一种基于子图匹配的层次分析方法。以子图为最小检测单元,分层检测各个子图的相似度;再依据各个子图的相似度,采用加权平均策略计算程序二进制文件的相似度。实验结果表明,该方法抗干扰能力强,能够有效应用于恶意程序家族分类及新病毒变种检测,且具有较高的检测效率。

恶意代码的函数调用图相似性分析

恶意代码的相似性分析是当前恶意代码自动分析的重要部分。提出了一种基于函数调用图的恶意代码相似性分析方法,通过函数调用图的相似性距离SDMFG来度量两个恶意代码函数调用图的相似性,进而分析得到恶意代码的相似性,提高了恶意代码相似性分析的准确性,为恶意代码的同源及演化特性分析研究与恶意代码的检测和防范提供了有力支持。

基于动态调用图的Java程序修改影响分析技术

现有的影响分析算法大都基于程序的静态分析技术,分析方法比较复杂且精度不高.针对静态分析存在的问题,提出采用动态分析技术构造Java程序的动态调用图,基于动态调用图,采用k-类方法后向切片计算修改影响集合.实验表明该方法简便易行,分析精度高,便于修改影响分析技术在大型Java程序测试中的实际运用.

基于函数调用图分析的NGB TVOS恶意应用检测方法

TVOS是我国自主研发的新一代具有自主知识产权、可管可控、安全高效的智能电视操作系统.TVOS自带应用商店是TVOS应用安装的唯一途径,但也对应用的检测提出了更高的要求.与Android应用不同,TVOS应用中很多权限和硬件调用均不涉及.采用函数调用图作为特征来弥补权限、API调用等在TVOS应用上表征能力上的不足的缺点.该方法采用基于核函数的分析方法和基于图相似度算法的分析方法提取TVOS应用的结构信息作为特征,使用SVM、RF、KNN 3种机器学习算法进行训练和分类.实验结果表明:所提出的基于函数调用图分析的NGB TVOS恶意应用检测方法能有效地检测出TVOS中的恶意应用,检测率最高达98.38%.

支持局部调用图生成的指针分析

在不分析库代码方法体的前提下,提出一种支持应用部分局部调用图生成的指针分析方法.该方法通过构建一系列规则,对应用部分和库部分的交互行为进行建模,推导库部分的指针信息.基于Soot程序分析框架实现该方法,并在14个Java基准程序上对其性能以及所生成调用图的完整性和精确性进行评估.实验结果表明:该方法的运行速度比Averroes和Spark调用图生成方法分别快4.9倍和13.7倍,并且能够创建完整且精确的局部调用图.

前端渲染函数调用图工具的设计与实现

针对内核在线分析工具,使用服务器计算函数调用图存在渲染时间长、网络传输数据量大等问题,基于Node.js的前端渲染函数调用图工具FRCG(front-end rendering call graph),使用前后端分离的方式,将数据处理与调用图渲染拆分到前后端分别进行。服务器异步处理请求,返回JSON数据,优化传输数据量。前端页面请求数据,动态渲染函数调用图,页面通过对数据的更新实现图的切换和操作功能,提高调用图的灵活性。对比测试表明,FRCG工具有效提高了函数调用图生成速度,减少了传输数据量。

基于函数调用图的Android恶意代码检测方法研究

随着移动互联网的迅猛发展和智能设备的普及,Android平台的安全问题日益严峻,不断增多的恶意软件对终端用户造成了许多困扰,严重威胁着用户的隐私安全和财产安全;因此对恶意软件的分析与研究也成为安全领域的热点之一;提出了一种基于函数调用图的Android程序特征提取及检测方法;该方法通过对Android程序进行反汇编得到函数调用图,在图谱理论基础上,结合函数调用图变换后提取出的图结构和提取算法,获取出具有一定抗干扰能力的程序行为特征;由于Android函数调用图能够较好地体现Android程序的功能模块、结构特征和语义;在此基础上,实现检测原型系统,通过对多个恶意Android程序分析和检测,完成了对该系统的实验验证;实验结果表明,利用该方法提取的特征能够有效对抗各类Android程序中的混淆变形技术,具有抗干扰能力强等特点,基于此特征的检测对恶意代码具有较好地识别能力。

一种C程序的函数调用图生成算法的设计与实现

阐述了函数调用图在程序理解、程序分析、软件测试和软件维护中的重要性,利用数据库技术、词法分析技术等,设计并实现一种C程序的函数调用图生成算法。

面向方面程序的调用图生成算法

调用图(callgraph)分析是进行程序分析、程序理解、软件测试和软件维护的重要基础。目前已提出的调用图生成算法多数是针对面向对象编程;而面向方面编程作为面向对象编程的扩展,还没有比较良好的调用图生成算法。为此,分析了既有的面向对象程序调用图生成算法,讨论了面向方面程序语言(AspectJ为例)的特殊语言元素及其对生成的调用图的影响,从而构筑了面向方面程序调用图的生成算法。

基于调用图的类间MM路径自动生成方法研究

在面向对象的软件测试中,类间集成测试尤其困难.方法/消息路径(MM路径)是由消息连接的方法执行序列,可以很好地体现面向对象软件由对象发送消息调用方法执行的交互过程,因此非常适于面向对象软件的集成测试.结合现有调用图构建算法,提出了一种基于调用图的面向对象软件类间MM路径自动生成方法,并通过大量实验,研究了采用类层次分析和安德森指向分析这2种典型调用图构建算法对生成MM路径的数量和时间花费的影响,进而分析了面向MM路径生成的测试用例集对被测程序的结构测试覆盖效果.实验结果表明:基于调用图的类间MM路径自动生成方法是确实可行的;采用安德森指向分析较类层次分析生成类间MM路径的数量平均增加13.11%,时间消耗却平均减少27.78%;此外,针对安德森指向分析生成的类间MM路径进行面向路径的测试用例自动生成,其生成的测试用例集对被测程序获得的结构覆盖率比采用类层次分析平均提高2%～7%.因此,对于基于调用图的面向对象软件类间集成测试路径生成,基于安德森指向分析较类层次分析生成类间MM路径的效率更高.

一种精确的调用图生成技术

调用图是过程间分析和程序自动并行化的基础。生成精确调用图可以进一步开发程序的并行性。此文针对Ｆｏｒｔｒａｎ程序，提出了一项完全消除哑过程，产生精确调用图的技术与相应的算法。该算法已在面向ＭＰＰＦｏｒｔｒａｎ的程序自动并行化工具中实现。

基于敏感权限及其函数调用图的Android恶意代码检测

为了有效地检测Android平台上的恶意软件,提出了一种基于敏感权限及其函数调用流程图的静态综合检测方法.通过对恶意软件进行逆向工程分析,构建了包含恶意代码敏感权限与函数调用图的特征库.并采用Munkres匈牙利算法计算待测样本与特征库在相同敏感权限下两个函数调用图之间的编辑距离,得到两个函数调用图之间的相似性,进而得到两个应用程序之间的相似性,据此对恶意软件进行检测识别.实验结果表明,该检测方法具有较高的准确性与有效性,检测效果明显优于工具Androguard.

基于面向方面调用图的AspectJ动态通知编织优化

在提出一种适合ApsectJ程序分析的面向方面调用图的基础上,给出了一种AspectJ动态通知编织优化方法.该方法利用程序调用图求解调用栈,并对栈中节点进行类型推导,再将调用栈与切点匹配,根据匹配结果决定通知织入方式.实例研究结果表明,该方法精确度高,能够静态确定程序中大部分动态通知的织入点.

基于数据库的在线函数调用图工具

针对基于文件的内核函数调用图工具存在的文件系统可扩展性和适用性等方面的不足,设计并实现了基于数据库的DBCG-RTL工具(Data Based Call Graph Tool Based on RTL,DBCG-RTL),该工具可用于分析大型软件模块间的函数调用关系.DBCG-RTL通过查找编译过程中生成的符号表而获得函数入口地址、返回行号等相关函数信息,绘制相应的关系图并标识出调用次数等信息,建立了相关的虚目录;将需要分析的对象通过分析工具跟踪到的数据转换成标准化格式并存入数据库.论文结果表明,该方法扩展了动态函数调用关系分析的功能,增加了虚目录函数调用关系分析等新方法;改善了工具执行效率,提高了工具的分析精度.

基于调用图的嵌入式Linux裁剪技术研究

针对目前仍然缺少一种有效的方法来根据面向具体应用的嵌入式系统裁剪Linux,依据程序设计原理,提出了一种利用调用图为嵌入式系统裁剪Linux的方法。经过目标系统上的模拟试验,裁剪率比利用传统工具提高了3.5％,并且确保了目标系统功能的完整性及稳定性。

基于调用图的Android应用权限泄露检测方法

为提高安卓(Android)应用权限泄露漏洞检测的准确性,提出了1种基于调用图的权限泄露检测方法。提取应用程序的公开接口,进而得到公开方法。提取程序中使用敏感应用程序编程接口(API)的敏感方法,然后构建程序方法间调用图。在公开方法和敏感方法间搜索权限泄露路径。以APKPure应用市场的286个应用程序包(APK)为实验对象进行验证。批量样本检测实验结果表明该文方法能够准确检测多种接口的权限泄露漏洞。选取Drozer、AndroBugs和腾讯金刚审计系统作为对比工具进行对比实验。结果显示,在公开接口检测时,该文方法检测范围最广、考虑的因素最多、漏报误报情况最少。