基于软件执行轨迹差异比对的关键函数定位技术研究.pdfVIP

2013年 9月 Journal on Communications September 2013 第 34卷第 9期 通 信 学 报 Vol.34 No. 9 基于软件执行轨迹差异比对的关键函数定位技术研究 康绯 1，王乾 2，肖亚南 1，黄荷洁 1 (1. 信息工程大学 数学工程与先进计算国家重点实验室，河南 郑州 450001；2. 中国北方电子设备研究所，北京 100191） 摘 要：关键函数是指应用软件在某个运行阶段发挥着关键作用的核心功能函数。对软件中的关键函数进 行快速定位是提高逆向分析效率的有效手段。目前，在软件逆向工程领域对关键函数进行定位大多是利用 人工分析的方法。利用动态二进制插桩技术，提出了一种切实可行的基于软件执行轨迹差异的关键函数自 动定位方法。当软件具有 2 类不同的输入，分别触发、不触发关键函数时，该方法能够快速、准确地识别 关键函数。 关键词：关键函数；软件执行轨迹；动态二进制插桩 中图分类号：TP309 文献标识码：A 文章编号：1000-436X(2013)09-0177-08 Research on key functions locating technique based on software execution trace difference comparison KANG Fei1, WANG Qian2, XIAO Ya-nan1, HUANG He-jie1 (1.State Key Laboratory of Mathematical Engineering and Advanced Computing, Information Engineering University, Zhengzhou 450001, China; 2. Institute of North Electronic Equipment, Beijing 10091, China) Abstract: Key functions are the core functions which play vital roles in certain run phase of application software. The quick locating of key functions is a valid method to improve the efficiency of software reverse analysis. In the field of software reverse engineering, locating key functions is mostly based on manual analysis. Dynamic binary Instrumenta- tion (DBI) techniques were employed to present a practicabletechnique to automatically locating the key functions based on software execution trace difference.Key functions can be quickly and precisely located when key functions can be triggered or not by two different kinds of software inputs. Key words: locating function; software execution trace; dynamic binary instrumentation 1 引言 “关键函数”是指应用软件中在某个运行阶段 发挥着关键作用的核心功能函数，是软件逆向过程 中需要重点进行逆向分析的函数。“关键函数”是 与软件逆向目标紧密相关的一个概念。软件逆向目 标不同，关键函数的性质也不一样。例如，分析加 解密软件时关键函数为核心加解密函数；分析商业 软件版权保护机制时关键函数为软件注册验证函 数等。 “关键函数定位”是指综合利用反汇编、软件 调试、二进制分析等技术手段，通过分析目标软件 的静态二进制特征和动态行为特征，进而确定关键 函数在软件二进制代码中位置范围的过程。对目标 关键函数进行快速定位可以有效地缩小逆向分析 的范围、降低逆向分析的复杂度，从而提高软件逆 向工作的效率。 2 国内外相关技术研究与发展现状 在实际的软件逆向工程中，由于逆向目标以及 在逆向过程中遇到的问题是千差万别的，所以使用