污点分析中的隐式污染检测方法

隐式流对于污点分析方法的准确性有重要影响。为此,提出一种基于程序单静态赋值形式的隐式流检测方法。通过生成控制流图的必经节点树检测控制依赖关系,计算必经边界发现程序汇合点,引入虚拟取值函数获得汇合点变量的多个赋值,从而判别变量取值分歧并标记污点属性。与人工审计结果的对比证明,该方法能够诊断2个污点分析工具的污染缺失和污染过度问题,有效降低隐式流分析的误报率和漏报率。

基于行为图谱筛的恶意代码可视化分类算法

近年来,恶意病毒产业链逐渐形成一个组织良好的市场并涉及巨额的资金,反恶意软件面临的主要挑战是需要对大量的数据和文件样本进行评估,以确定潜在的恶意意图。基于此,文章提出了一种基于行为图谱筛的恶意代码可视化分类算法。该算法分析了恶意代码样本的汇编指令流,提取程序行为指纹,并利用知识图谱对指纹内容进行转义,从而生成指定样本的图谱筛。通过对图谱筛中的污点定位,该算法对恶意程序样本中的噪点进行清理,生成对应的筛后指纹。筛后指纹在保留原有指纹特征的前提下,达到了76.3%的压缩率。最后,该算法对筛后指纹进行了可视化分析和操作码序列分析,并利用随机森林算法进行分类工作,达到了98.8%的准确率。实验证明,基于行为图谱筛的恶意代码可视化分类算法,在恶意代码分类方面能达到更好的效果。

基于调用中枢的软件系统调用保护技术实现

针对现有保护技术方法均无法有效防止攻击者通过监控系统调用并分析二进制程序功能的攻击手段的现状,文章提出基于调用中枢的软件系统调用保护技术PTBCC的实现。PTBCC通过二进制依赖关系提取模块获取导入表和系统调用的交叉引用信息,通过基于程序供应链的无污染加载模块手动内存化程序依赖的动态链接库,获取函数偏移,并计算函数完整性,由基于调用中枢的函数分发模块完成系统调用的统一保护和管理。选取Sysinternals中的软件作为测试用例,从程序性能、保护效果等多方面进行对比分析。实验结果表明,PTBCC处理目标二进制文件速度快,且保护后的程序性能方面损失微小,同传统保护方案相比,在保护系统调用、抗静态分析和动态调试等方面均表现突出。PTBCC从系统调用出发,以新的角度提出软件保护方法,而非专注于代码的保护,保护效果明显。