恶意代码与安全漏洞.ppt

控制流分析的目标是得到程序的一个控制流图（ｃｏｎｔｒｏｌｆｌｏｗｇｒａｐｈ）．控制流图是对程序执行时可能经过的所有路径的图形化表示．通过根据不同语句之间的关系，特别是考虑由“条件转移”、“循环”等引入的分支关系，对过程内的一些语句进行合并，可以得到关于程序结构的一些结果．一个控制流图是一个有向图：图中的结点对应于程序中经过合并的基本语句块，图中的边对应于可能的分支方向，例如条件转移、循环等等，这些都是分析程序行为的重要信息。 * （４）数据流分析（ｄａｔａｆｌｏｗａｎａｌｙｓｉｓ）．数据流分析试图确定在程序的某一点（语句）关于各个变量的使用或者可能取值情况．数据流分析一般从程序的一个控制流图开始．数据流分析主要有前向分析（ｆｏｒｗａｒｄａｎａｌｙｓｉｓ）、后向分析（ｂａｃｋｗａｒｄａｎａｌｙｓｉｓ） 两种方法．前向分析的一个例子是可达定义（ｒｅａｃｈｉｎｇｄｅｆｉｎｉｔｉｏｎｓ）．它计算对于程序的每一点，可能到达该点的定义的集合．后向分析的一个例子是活跃变量（ｌｉｖｅｖａｒｉａｂｌｅｓ）．它计算对于程序的每一点，程序后面的语句可能读取且没有再次修改的变量． 这个结果对于消除死代码（ｄｅａｄｃｏｄｅ）很有用：如果一个变量在某个阶段被定义后，后面的语句一直不会用到这个定义，那么这个定义就是死代码，应该从程序中删除．基于格（ｌａｔｔｉｃｅ）与不动点（ｆｉｘｐｏｉｎｔ）理论的数据流分析是目前被广泛使用的技术：首先对控制流图中的每个节点建立一个数据流等式（ｅｑｕａｔｉｏｎｓ），并根据分析目标构造一个具有有限高度的格L，然后不断重复计算每个节点的输出，直到达到格的一个不动点．许多编译器为了进行编译优化而引入了数据流分析技术． 数据流分析方法中最常用的方法是跌代法，迭代算法的主要步骤是：初始化数据流信息状态以及工作列表，然后依次处理工作列表中的节点，更新各节点信息，同时把被它影响的节点加入工作列表中。由于传输函数在数据流信息的格中有不动点，所以迭代算法是可以终止的。 * 动态污染传播（Dynamic taint analysis），也称为动态信息流分析方法是在程序运行时，标记某些信息，例如变量、存储单位、寄存器的值等，从而跟踪攻击路径，获取漏洞信息。 第一步：标识污点源。 第二步：分析污染源的传播。 分析出什么样的操作导致了被污染对象x的信息被传递给了没有受污染的对象y记为x?t(y)，其中t表示程序操作。 分析出所有受t操作影响的对象y并标识y为受污染对象。 第三步：污染数据到达触发点（taint sink）时，根据触发机制对具有污染标识的数据、内存等进行检查，从而发现可能的安全问题。 * 动态挖掘方法主要借鉴了软件测试的思想，即通过输入测试用例和输出测试结果来发现代码中存在的安全问题，如模糊测试、渗透测试等。此外动态挖掘方法还借鉴了软件监测的思想，即在不同层次上监测代码的运行状态来发现安全问题。如动态污染传播等。 * 半衰期指修复半数存在漏洞的系统所用的时间 漏洞消控 补丁修复 安全加固 * 补丁修复 打补丁是漏洞消减的技术手段之一。 数据显示，及时安装有效补丁可避免约95%的信息安全损失。 补丁修复中存在的两难问题： 是否要打补丁？——资源分配问题 打什么样的补丁？——补丁质量问题 如何打补丁？——操作方式问题 什么时间打补丁？——修复时机问题 现状： 出现了跨学科领域的研究方法（计算机科学、经济学、管理学） 从理论分析与用户最佳实践中共同寻找答案 * 安全加固 标准化的安全配置 2002年，美国率先在军队推行标准化的安全配置与核查（IAVA） 根据漏洞分析和风险评估的安全加固 传统的安全加固手段越来越难以应付日益复杂的攻击行为，漏洞信息的及时披露和分发越来越重要。 加固核查与问责 通过安全审计核实漏洞消除情况和效果。 * 谢谢，请提问题！ * 禁止跟踪中断。针对调试分析工具运行系统的单步中断和断点中断服务程序，恶意代码通过修改中断服务程序的入口地址实现其反跟踪目的。“1575”计算机病毒采用该方法将堆栈指针指向处于中断向量表中的INT 0至 INT 3区域，阻止调试工具对其代码进行跟踪。 封锁键盘输入和屏幕显示，破坏各种跟踪调试工具运行的必需环境； 检测跟踪法。检测跟踪调试时和正常执行时的运行环境、中断入口和时间的差异，根据这些差异采取一定的措施，实现其反跟踪目的。例如，通过操作系统的API 函数试图打开调试器的驱动程序句柄，检测调试器是否激活确定代码是否继续运行。 其它反跟踪技术。如指令流队列法和逆指令流法等。 * 对程序代码分块加密执行。为了防止程序代码通过反汇编进行静态分析，程序代码以分块的密文形式装入内存，在执行时由解密程序进行译码，某一段代码执行完毕后立即清除，保证任何时刻分析者不可能从内