基于RTL的函数调用图生成工具CG-RTL

为了分析操作系统内核等大型软件的模块间函数调用关系,针对传统的函数调用关系生成工具不适用于模块间调用关系分析以及其依赖编译器具体特定版本等不足,提出一种基于寄存器传送语言(Register Transfer Language,RTL)的函数调用图生成方法,并根据该方法实现了一个生成模块间函数调用图的工具CG-RTL(call graph based on RTL,简称为CG-RTL).CGRTL首先从编译过程所生成的中间结果中提取出函数定义和调用关系信息,然后利用开源图形可视化工具Graphviz将其绘制出来,并最终将该功能集成到在线源代码浏览工具LXR中去.实验结果表明:通过该方法获得的函数调用关系与目标代码较为一致,而且可以分析用户指定模块间的函数调用关系,而且该方法同时可以生成相对应的函数调用关系列表,更加细致的描述函数调用关系.

一种结合动态与静态分析的函数调用图提取方法

完整准确地提取函数调用图是基于函数调用图进行恶意程序相似性分析的基础。为此,提出一种动静结合的恶意程序函数调用图提取方法。在对程序进行静态反汇编的基础上抽取恶意程序的可执行路径,使用隐藏信息主动发现策略找出恶意程序中隐藏的指令和函数调用,采用动态反馈机制完成动静结合分析过程中的信息同步。实验结果表明,该方法能够有效应对各种恶意程序反分析技术,完整准确地提取出恶意程序的函数调用图。

基于内核跟踪的动态函数调用图生成方法

针对目前大多数的函数调用关系分析工具无法分析函数指针、系统启动过程以及可加载模块的函数调用关系的现象,在CG-RTL的基础上提出了基于内核跟踪的动态函数调用图生成方法,并开发了动态函数调用图生成工具DCG-RTL(dynamic call graph based on RTL)。DCG-RTL在S2E模拟器中运行待跟踪内核,通过指令捕获插件和函数解析插件记录运行时的函数调用和返回信息,分析跟踪信息得到动态和静态函数调用关系,利用CG-RTL工具在浏览器中展示。实验结果表明,DCG-RTL能全面和准确地跟踪包括函数指针引用和可加载内核模块在内的函数调用关系。

基于函数调用图的二进制程序相似性分析

现有基于函数调用图的程序二进制文件相似性分析方法在分析经混淆处理的复杂程序时存在准确度低的问题。针对该问题提出了一种基于子图匹配的层次分析方法。以子图为最小检测单元,分层检测各个子图的相似度;再依据各个子图的相似度,采用加权平均策略计算程序二进制文件的相似度。实验结果表明,该方法抗干扰能力强,能够有效应用于恶意程序家族分类及新病毒变种检测,且具有较高的检测效率。

恶意代码的函数调用图相似性分析

恶意代码的相似性分析是当前恶意代码自动分析的重要部分。提出了一种基于函数调用图的恶意代码相似性分析方法,通过函数调用图的相似性距离SDMFG来度量两个恶意代码函数调用图的相似性,进而分析得到恶意代码的相似性,提高了恶意代码相似性分析的准确性,为恶意代码的同源及演化特性分析研究与恶意代码的检测和防范提供了有力支持。

一种静态的Java程序函数调用关系图的构建方法

在程序理解中,函数之间的调用关系是程序理解研究的重要内容。一个函数往往代表了一种具体功能或问题求解的实现,构建出函数调用图有助于对程序的理解。以JAVA语言为研究对象,介绍了几种函数调用图的构建方法,并比较了它们的优劣性。

基于函数调用图分析的NGB TVOS恶意应用检测方法

TVOS是我国自主研发的新一代具有自主知识产权、可管可控、安全高效的智能电视操作系统.TVOS自带应用商店是TVOS应用安装的唯一途径,但也对应用的检测提出了更高的要求.与Android应用不同,TVOS应用中很多权限和硬件调用均不涉及.采用函数调用图作为特征来弥补权限、API调用等在TVOS应用上表征能力上的不足的缺点.该方法采用基于核函数的分析方法和基于图相似度算法的分析方法提取TVOS应用的结构信息作为特征,使用SVM、RF、KNN 3种机器学习算法进行训练和分类.实验结果表明:所提出的基于函数调用图分析的NGB TVOS恶意应用检测方法能有效地检测出TVOS中的恶意应用,检测率最高达98.38%.

前端渲染函数调用图工具的设计与实现

针对内核在线分析工具,使用服务器计算函数调用图存在渲染时间长、网络传输数据量大等问题,基于Node.js的前端渲染函数调用图工具FRCG(front-end rendering call graph),使用前后端分离的方式,将数据处理与调用图渲染拆分到前后端分别进行。服务器异步处理请求,返回JSON数据,优化传输数据量。前端页面请求数据,动态渲染函数调用图,页面通过对数据的更新实现图的切换和操作功能,提高调用图的灵活性。对比测试表明,FRCG工具有效提高了函数调用图生成速度,减少了传输数据量。

基于函数调用图的Android恶意代码检测方法研究

随着移动互联网的迅猛发展和智能设备的普及,Android平台的安全问题日益严峻,不断增多的恶意软件对终端用户造成了许多困扰,严重威胁着用户的隐私安全和财产安全;因此对恶意软件的分析与研究也成为安全领域的热点之一;提出了一种基于函数调用图的Android程序特征提取及检测方法;该方法通过对Android程序进行反汇编得到函数调用图,在图谱理论基础上,结合函数调用图变换后提取出的图结构和提取算法,获取出具有一定抗干扰能力的程序行为特征;由于Android函数调用图能够较好地体现Android程序的功能模块、结构特征和语义;在此基础上,实现检测原型系统,通过对多个恶意Android程序分析和检测,完成了对该系统的实验验证;实验结果表明,利用该方法提取的特征能够有效对抗各类Android程序中的混淆变形技术,具有抗干扰能力强等特点,基于此特征的检测对恶意代码具有较好地识别能力。

Linux内核函数调用关系的复杂网络分析

函数调用图可以用来反映软件系统中函数之间的调用关系,在程序的理解与分析、软件的测试与维护等众多软件工程领域都有着广泛的应用,是该领域中的一种重要复杂网络模型。文章使用函数调用图分析了Linux内核的源代码结构,完成了对其内部重要拓扑结构特征的实证分析,同时也使用度、介数和紧密度中心化分析指标等几种主流的中心化分析方法考察了其中的关键函数。

基于敏感权限及其函数调用图的Android恶意代码检测

为了有效地检测Android平台上的恶意软件,提出了一种基于敏感权限及其函数调用流程图的静态综合检测方法.通过对恶意软件进行逆向工程分析,构建了包含恶意代码敏感权限与函数调用图的特征库.并采用Munkres匈牙利算法计算待测样本与特征库在相同敏感权限下两个函数调用图之间的编辑距离,得到两个函数调用图之间的相似性,进而得到两个应用程序之间的相似性,据此对恶意软件进行检测识别.实验结果表明,该检测方法具有较高的准确性与有效性,检测效果明显优于工具Androguard.

基于数据库的在线函数调用图工具

针对基于文件的内核函数调用图工具存在的文件系统可扩展性和适用性等方面的不足,设计并实现了基于数据库的DBCG-RTL工具(Data Based Call Graph Tool Based on RTL,DBCG-RTL),该工具可用于分析大型软件模块间的函数调用关系.DBCG-RTL通过查找编译过程中生成的符号表而获得函数入口地址、返回行号等相关函数信息,绘制相应的关系图并标识出调用次数等信息,建立了相关的虚目录;将需要分析的对象通过分析工具跟踪到的数据转换成标准化格式并存入数据库.论文结果表明,该方法扩展了动态函数调用关系分析的功能,增加了虚目录函数调用关系分析等新方法;改善了工具执行效率,提高了工具的分析精度.

基于函数调用图的Android重打包应用检测

针对Android第三方市场中重打包应用日益增多的现象,提出一种利用函数调用图检测Android重打包应用的方法。对应用进行反编译,提取并分析Smali代码生成函数调用图,同时将函数中的操作码作为结点的属性对函数调用图进行处理,实现第三方库过滤并保留与界面相关的应用程序接口。在此基础上,用Motif子图结构表示函数调用图,根据子图的相似度计算应用的相似度,从而判断是否为重打包应用。通过对市场中1 630个应用的检测结果表明,该方法具有较高的准确性和良好的可扩展性。

Linux内核函数调用关系的验证方法

作为最流行的开源操作系统,Linux在各行各业得到了广泛的应用。因此了解Linux内核的架构及工作机制就显得非常重要。然而目前对Linux内核的主要学习途径是各种教科书以及经验博客,而对于Linux内核的实时动态监控技术却很少有人了解。本文提供一种动态监视内核运行过程的方法。通过此方法可以动态地观察Linux内核的函数调用情况,以及CPU寄存器值等动态信息。

LINUX的系统调用与函数调用

介绍了LINUX系统调用和函数调用的区别及联系 ,一般地系统调用与函数调用在形式上并没有什么区别 ,但是系统调用与函数在执行效率、所完成的功能和可移植性方面却有很大的区别 ,函数库中的函数尤其是与输入输出有关的函数 。

基于函数调用序列模式和函数调用图的程序缺陷检测方法

基于函数调用模式挖掘的程序缺陷检测方法通常挖掘出的模式较多,疑似缺陷数量大,人工确认疑似缺陷开销高,且易引入误判.为此,该文提出一种基于函数调用序列模式和函数调用图的程序缺陷检测方法.首先,挖掘函数调用序列模式;其次,通过分析待检测程序,生成函数调用图;第三,结合函数调用序列模式和函数调用图,检测程序中的疑似缺陷.实验结果表明,在不影响缺陷检测效果的前提下,本方法有效减少了疑似缺陷数量,降低了人工确认开销.

基于函数调用图的Android恶意软件检测

为了有效检测Android恶意软件,提出一种基于函数调用图的检测方法。通过将应用程序的函数调用关系表示为图结构,结合深度学习处理图的算法对图结构经过节点排序、归一化等处理,生成能够输入卷积神经网络的局部感受野从而建立恶意软件分类模型。通过和不同的恶意软件检测模型对比,证明基于图结构的检测方法有较高的检测准确率和检测效率。

静态下JAVA程序函数调用关系图的框架实践

随着计算机水平在不断的提高,其应用的领域也在逐渐的扩展,本文主要研究了JAVA程序,在函数之间的调用关系中,更好的研究程序理解,其中在函数之间中,它往往代表的是一种具体功能或者是问题求解的实现,最终构建了函数调解图,来促进程序的理解。本文研究了集中函数调用图,针对其优缺点,最终提出了一种函数调用图的构建方法。

基于QEMU的动态函数调用跟踪

函数调用一直是Linux内核分析研究领域的重点.获得函数调用信息主要有2种方法:静态分析和动态分析.动态跟踪方法可实时和准确地获取函数调用关系信息,在分析和调试软件程序时有极大的帮助作用.针对现有工具存在跟踪信息不全面、需要编译选项支持等不足,基于开源的QEMU模拟器,设计并实现了支持多种CPU平台的通用动态函数调用跟踪工具,可在x86_32,x86_64,ARM共3种体系架构上动态跟踪包括Linux内核启动过程在内的函数调用和返回信息.该工具在程序运行时截获调用和返回的指令,并记录相关信息,利用此种指令只会在QEMU翻译块的最后一条出现的性质,减少检查指令的数量,提高运行效率;可不依赖源代码,只依据函数符号表进行函数调用关系分析.实验结果表明:跟踪和分析结果与源代码行为一致,相比于S2E提升了分析性能和支持的CPU平台种类,且能更好地扩展至其他平台.

面向C#的函数调用路径生成

C#作为一种面向对象的高级语言,由于其搭载环境Visual Studio功能强大、可视性强、更新较快,而逐渐成为软件开发中的常用语言。由于C#语言包含类、对象、命名空间、重载、委托等多变而又复杂的形态,给C#程序的理解和测试带来了很大困难。提出一种基于Visual Studio的代码图提供的信息提取C#函数调用路径的方法。首先从代码图的XML表示——DGML的信息中获取函数、类及函数的依赖关系信息,以此为基础对源程序进行分析,提取函数调用关系树,将局部的函数调用关系树组合成全局的函数调用关系树从而得到整个软件系统的全局静态函数调用路径。实验表明,此方法能够较为准确生成C#程序的函数调用路径,从而有助于开发人员对C#程序的理解和测试,也为测试用例的自动生成奠定了基础。