国家高技术研究发展计划(2009AA01Z434)
- 作品数:25 被引量:56H指数:4
- 相关作者:李清宝王炜张平曾光裕崔晨更多>>
- 相关机构:解放军信息工程大学中国人民解放军信息工程大学郑州供电公司更多>>
- 发文基金:国家高技术研究发展计划国家科技重大专项河南省科技攻关计划更多>>
- 相关领域:自动化与计算机技术更多>>
- 基于中断向量表重构的固件代码反汇编技术被引量:5
- 2012年
- 反汇编是固件代码逆向分析的重要研究内容,其正确性直接影响固件代码逆向分析的准确性。固件代码结构具有特殊性,针对上层应用程序的反汇编算法大都不能直接用于固件代码的反汇编。中断向量表是固件代码的重要组成部分,从中断向量开始对中断服务子程序进行反汇编,可提高固件代码反汇编的精度。通过对固件代码结构特点的研究分析,介绍了中断向量表的重构方法,提出了一种基于中断向量表重构的固件代码反汇编技术。经测试分析,与传统的静态反汇编技术相比,基于中断向量表重构的固件代码反汇编技术不仅能够对固件代码中的主函数进行反汇编,还能够对中断服务子程序进行反汇编,反汇编精度平均提高了8.72%。
- 崔晨李清宝胡刚王炜
- 关键词:反汇编中断向量表
- 面向固件代码分析的虚拟指令集体系结构设计
- 2012年
- 传统虚拟指令集体系结构不能同时满足简单性和高效性的要求。为此,提出一种面向固件代码分析的虚拟指令集体系结构构造方法。设计多目标固件代码分析平台,在可配置虚拟硬件结构的基础上,获取最小完备指令集,并说明扩展虚拟指令集的方法。实验结果表明,该方法能降低翻译代码膨胀率,目标指令模拟时间比传统方法减少19%~35%。
- 赵远曾光裕王炜崔晨高洪博
- 关键词:虚拟硬件
- 基于抽象解释的二进制代码变量区间分析被引量:1
- 2013年
- 在二进制代码分析中,传统的区间分析方法难以有效获得变量的取值范围。针对二进制代码变量特点,基于抽象解释理论,该文提出字级数据区间和位级数据区间的概念,分别对数值型数据变量和位级数据变量进行抽象表示;将抽象区间用于二进制代码变量运算,构建字级数据区间和位级数据区间的运算方法;引入区间集的概念,确立字级数据区间和位级数据区间的转换关系,提出字级数据区间和位级数据区间的相互转换算法。实验结果表明,该文提出的基于抽象解释的二进制代码变量区间分析方法能够精确高效地确定二进制代码变量的取值范围。
- 高洪博李清宝王炜谢晓东朱瑜
- 关键词:二进制代码代码分析区间分析
- 基于行为特征的BIOS Rootkit检测被引量:1
- 2011年
- 针对BIOS Rootkit难以检测的问题,提出一种基于行为特征的BIOS Rootkit的检测方法。该方法通过研究BIOS Rootkit工作原理和实现技术,对BIOS Rootkit的行为特征进行归纳、定义和形式化描述,在反编译的过程中提取行为,根据提取的行为构成BIOS Rootkit的完整程度进行恶意性判定。实验结果证明,该方法能够有效检测主流的BIOS Rootkit。
- 郭致昌张平庞建民郭浩然崔晨
- 关键词:逆向工程恶意代码
- 基于关键语义子树的间接跳转目标解析被引量:1
- 2011年
- 针对传统间接跳转解析方法受限于特定模板或模式的局限性,提出一种基于关键语义子树的间接跳转目标解析技术,在为机器指令语义映射生成的语义树上,提取间接跳转典型形式的语义特征,忽略与跳转生成无关的指令,自动生成跳转目标计算函数,实现与编译器及优化选项均无关的间接跳转目标的自动解析。实验结果证明,该方法普适性良好。
- 白莉莉庞建民赵荣彩朱嘉风
- 独立可执行设备支持的终端代码防篡改技术研究被引量:2
- 2013年
- 终端代码防篡改技术研究对保护网络终端安全具有重要意义,是信息安全研究的热点问题之一.在分析常见网络终端体系结构脆弱性问题的基础上,提出一种以硬件为核心的终端代码防篡改方案.该方案通过构建独立可执行环境来解决程序运行过程中的完整性保护问题,通过物理隔离和强制访问控制解决数据机密性保护问题.最终采用通用USB-KEY和部分终端代码仿真实现独立可执行设备原型,并对其主要功能和性能进行了测试.实验结果表明,该方案能够利用较低成本的硬件资源,为网络终端内目标程序提供防篡改保护.
- 朱毅李清宝钟春丽王炜
- 关键词:可信计算
- 基于硬件资源访问控制的固件恶意行为研究被引量:1
- 2011年
- 固件与传统的应用软件一样,都有可能存在木马、后门、逻辑炸弹等具有恶意行为的代码。由于固件具有硬件相关性、任务执行的阶段性与高内聚性等特点,使得传统的程序恶意行为描述方法不能适用于固件程序。探讨了固件程序及固件恶意行为的特点和本质特征,描述了一种基于硬件资源访问控制策略的固件程序恶意行为形式化建模和检测方法,并对该方法的有效性进行了实验验证。
- 张翠艳张平胡刚薛亮
- 关键词:用户意愿
- 基于聚类分析的内核恶意软件特征选择被引量:14
- 2015年
- 针对现有基于数据特征的内核恶意软件检测方法存在随特征的增多效率较低的问题,该文提出一种基于层次聚类的特征选择方法。首先,分析相似度计算方法应用于数据特征相似度计算时存在的困难,提出最长公共子集并设计两轮Hash求解法计算最长公共子集;其次,设计基于最长公共子集的层次聚类算法,有效地将相似特征聚类成簇;在此基础上,设计基于不一致系数的内核恶意软件特征选择算法,大大减少特征数,提高检测效率。实验结果验证了方法的有效性,且时间开销在可接受的范围内。
- 陈志锋李清宝张平冯培钧
- 关键词:数据特征层次聚类
- 基于控制流信息的克里普克结构生成方法
- 2012年
- 恶意程序检测是信息安全技术研究的重要内容,基于程序行为特征的检测可以弥补二进制特征码检测方法的很多不足。使用模型检验技术可以对程序的操作行为做属性验证,它需要对目标程序进行建模,得到一个符合克里普克结构的迁移系统。通过对模型检验技术和克里普克结构的研究分析,提出了一种以完整控制流信息为基础、采用贪婪归一策略的克里普克迁移系统生成方法。测试分析表明,利用该方法生成的迁移系统可以完整地描述控制流信息,也可以精确地刻画系统状态的改变。
- 牛小鹏李清宝谢晓东
- 关键词:控制流
- 基于访问控制的Hypervisor非控制数据完整性保护被引量:3
- 2015年
- 在虚拟化技术广泛应用的同时虚拟层的安全问题引起了国内外研究人员的密切关注。现有的虚拟机管理器(Hypervisor)完整性保护方法主要针对代码和控制数据的完整性保护,无法抵御非控制数据攻击;采用周期性监控无法提供实时的非控制数据完整性保护。针对现有方法的不足,该文提出了基于UCON的Hypervisor非控制数据完整性保护模型UCONhi。该模型在非控制数据完整性保护需求的基础上简化了UCON模型,继承了UCON模型的连续性和易变性实现非控制数据的实时访问控制。根据攻击样例分析攻击者和攻击对象确定主客体减少安全策略,提高了决策效率;并基于ECA描述UCONhi安全策略,能够有效地决策非控制数据访问合法性。在Xen系统中设计并实现了相应的原型系统Xen-UCONhi,通过实验评测Xen-UCONhi的有效性和性能。结果表明,Xen-UCONhi能够有效阻止针对虚拟机管理器的攻击,且性能开销在10%以内。
- 陈志锋李清宝张平曾光裕
- 关键词:虚拟机管理器
