ARM二进制敏感性数据检测的方法的研究.docVIP

ARM二进制敏感性数据检测的方法的研究 　　摘 要： 相对于PC成熟的安全防护而言，嵌入式安全依旧处于薄弱状态。以ARM为研究对象，结合ARM指令体系的结构和特点，为实现对二进制可执行文件BIN中是否存在对硬件模块的操控，展开敏感性信息的匹配，预警恶意操作，并提出半定型建模匹配方式，加快了代码定位分析效率。 　　关键词： 二进制可执行文件； ARM指令； 敏感信息； 半定型建模 　　中图分类号： TN702?34 文献标识码： A 文章编号： 1004?373X（2015）15?0050?03 　　Research on detection method for ARM sensitive binary data 　　YU Kai， LIANG Guangming， YANG Shide 　　（School of Electronic Science and Engineering， National University of Defense Technology， Changsha 410073， China） 　　Abstract： Compared with PC mature security protection， the embedded security remains in weaker state. To achieve whether the control to hardware module exists in BIN of binary executable file， ARM is taken as research object， and sensitive information matching is conducted， and malicious actions are forewarned in combination with the structure and characteristics of ARM instruction system. The matching way of semidefinite form modeling is presented， which speeds up the code positioning analysis efficiency. 　　Keywords： binary executable file； ARM instruction； sensitive information； semidefinite form modeling 　　0 引 言 　　随着现代电子技术的不断发展，信息系统规模和复杂度逐步增加，随之而来的信息安全问题的严重性也在不断提高，软件安全问题显得尤为突出[1]。出于对自身商业利益和知识产权的保护，大部分软件厂商并不会提供源代码，因此对二进制程序进行安全检测是当前研究的一大主流方向[2]。 　　当前随着恶意代码数量的增多，病毒库越来越庞大，利用传统的模式匹配算法导致耗费的时间不断增大，已经不能满足实际应用。另外，随着恶意代码编写技术的发展，当前的恶意代码大多采用加密等技术对自身进行保护，这样就更进一步降低了传统检测方法的准确性[3]。为了解决这一问题，最有效的方法是归纳总结出一类恶意代码的行为特征，将传统的二进制特征匹配提升到行为特征匹配，才能利用尽可能少的特征检测出尽可能多的恶意代码[4]。常见嵌入式设备控制模块有处理器模式设置、看门狗开关、中断开关、MMU控制、时钟控制等，这些模块的控制入口都是敏感信息，通过对BIN文件这些敏感信息的匹配可以有效地对代码可能存在的恶意操作进行预警。 　　传统的单模式匹配算法主要有BF，KMP，BM算法及Sunday算法。BF算法实现简单，但匹配效率很低；KMP算法比BF算法有所改进；BM算法则比KMP算法的检测速度快3～5倍[5]；在短模式匹配中，Sunday是目前速度最快的算法[6]。这些传统方法不适合于二进制文件的信息匹配[7]，也没有重定位功能。因此，本文结合ARM指令架构特点，提出半定型匹配算法，通过实验证明了该算法的可靠性和高效性。 　　1 半定型建模 　　源代码可能千差万别，但经过工具编译成汇编语言时，具有极大的相似性。一是主要体现在高级语言指令多样，而且还在不断扩展，但汇编指令有限，单一的高级语言程序经常由多条汇编语言组合而成，这些汇编指令很相似。二是体现在机器编译的过程中会将代码进行优化，使其符合标准编程格式，这样使得编译生成的汇编语言结构相似。ARM数据类指令格式解析，如图1所示。其中，cond表示执行条件；I表示shifter_operand是立即数还是寄存器；Opcode是指令标记码；S表示执行结果是否影响CPRS；Rn表示