补丁二进制比较技术资料.pdfVIP

丁二进制比较技术 Hume 丁二进制比较技术 补丁比较－揭示差异信息的常用方法 Ł补丁比较的需求 Ł开源软件Vs. 闭源软件 Ł二进制补丁比较的难点 二进制文件比较的常用方法及缺陷 Ł二进制字节对应比较 Ł反汇编－ 文本比较 Ł其他方法 2 页 最新方法 Ł基于指令相似性的图形化比较(razor) Ł结构化比较(halvar flake) Ł这些方法的一些问题 理解程序本质以及补丁比较的特殊性 Ł函数－指令 Ł补丁比较的特殊性 进行 丁比较 Ł结构化比较、语意敏感分析 3 页 Ł设计签名 Ł筛选(WI) Ł图的生成及查看 补丁分析实例 ŁMicrosoft Windows schannel.dll PCT1 协议 实现远程缓冲区溢出漏洞 4 页 丁比较 －揭示差异信息的常用方法 v补丁比较的需求 x安全防护：漏洞分析、病毒变种分析 x利用其他产品未公开特性的产品 x别有用心的黑客 v开源软件Vs. 闭源软件 x开源软件补丁源代码对比比较简单 5 页 x闭源软件补丁二进制比较 v二进制 丁比较的难点 x一个补丁补多个问题，代码变化较多 x与补丁无关的其他变化 x编译器优化 Ł源码修改编译 －逆向工程，信息不对称 Ł传统比较方法已经不能适应补丁比较的最新 需要 6 页 二进制比较的常用方法及缺 陷 v二进制字节对应比较。FC，只适用于极少量的变 化 （若干字节）的补丁比较 v反汇编－ 文本比较。Beyond compare,vi,emacs 缺乏对程序逻辑的理解，只 适用于小文件和少量变化 v其他方法。正则表达式结合文本比较？ 7 页 最新方法 v基于指令相似性的图形化比较。 Todd Sabin ：《Comparing binaries with graph isomorphisms 》 函数对比－每条指令作为流程图的一个节点－ 流程图化简－流程图合成－人工分捡对比 8 页 最新方法 v结构化比较 Halvar Flake ：《Structural Comparison of Executable Objects》 结构化函数签名(逻辑块数,子调用数目,链接数) 配比－签名相同不能匹配函数通过函数调用树进 行结构化分析对比－得到结果 9 页 最新方法 v两种方法各自的优点 结构化签名与具体平台无关，便于移植 结构化签名不会受到部分编译器优化的影响