基于动态二进制分析平台的协议逆向解析技术研究

论文摘要

协议逆向解析技术在协议安全性分析、网络应用程序漏洞挖掘、入侵检测等方面都具有重要的应用价值,对其进行深入研究具有十分重要的意义。论文首先介绍了协议逆向解析的概念、应用领域及研究现状,分析了已有研究成果存在的不足。在此基础上,实现了一种基于动态二进制分析平台的协议逆向解析方法。该方法的主要思想是:利用动态二进制分析平台对网络应用程序进行解释执行,并在执行过程中,根据动态二进制分析平台的扩展机制,对程序进行动态插装分析,从而准确获取协议消息处理过程中程序的执行轨迹;通过对记录的轨迹信息进行分析处理,解析得到协议消息格式。为此,本文研究并实现了以下技术:设计了污点源动态识别技术,通过对程序中网络API函数执行情况的实时监控,定位程序接收到的协议数据,将其标记为污点源;实现了基于程序动态插装的轨迹实时获取技术,能够准确获取协议消息的处理轨迹,并将ETW(Event Tracing for Windows)机制用于轨迹信息的实时存储;研究并实现了基于DynamoRIO的动态污点分析技术,以记录的轨迹信息为基础,对其进行动态污点分析,提取出协议消息的具体处理信息,生成协议数据处理的污点传播树;最终根据制定的协议字段逆向解析策略,解析得到协议消息的主要字段格式,如分隔符、关键词、长度域与目标域等。论文最后设计并实现了一套基于DynamoRIO的协议逆向解析原型系统(命名为UNPRE),并分别以文本协议和二进制协议为例对原型系统进行了测试,将测试结果与Wireshark的解析结果进行了对比。结果表明,UNPRE对协议格式的逆向解析结果正确,能如实地反映协议消息的主要字段格式。

论文目录

表目录

图目录

摘要

ABSTRACT

第一章绪论

1.1 课题背景及意义

1.1.1 协议逆向解析介绍

1.1.2 协议逆向解析与信息安全

1.2 课题来源及介绍

1.3 国内外相关技术研究现状

1.4 研究内容与主要创新点

1.5 论文结构安排

第二章协议逆向解析与动态二进制分析平台

2.1 协议逆向解析的常用方法

2.1.1 基于网络轨迹的协议逆向解析

2.1.2 基于程序执行轨迹的协议逆向解析

2.1.3 两种协议逆向解析方法的比较

2.2 动态二进制分析平台介绍

2.2.1 DBI 技术

2.2.2 DynamoRIO 介绍

2.3 本文研究思路

2.4 本章小结

第三章基于DynamoRIO 的动态污点分析技术

3.1 基于DynamoRIO 的污点源动态识别

3.2 基于程序动态插装的轨迹信息实时获取

3.2.1 目标代码段的确定

3.2.2 轨迹信息及相关数据结构的确定

3.2.3 轨迹信息实时获取

3.3 基于ETW 的轨迹信息实时存储

3.4 动态污点传播分析

3.4.1 污点的分类与表示方法

3.4.2 污点的生命周期

3.4.3 污点传播规则

3.4.4 污点传播及结果表示

3.4.5 污点传播实例分析

3.5 本章小结

第四章协议格式逆向解析

4.1 常见协议字段分类

4.2 协议字段逆向解析总体流程

4.3 协议字段逆向解析策略

4.3.1 分隔符的逆向解析

4.3.2 关键词的逆向解析

4.3.3 长度域与目标域的逆向解析

4.3.4 其他协议字段的逆向解析

4.4 本章小结

第五章协议逆向解析原型系统的实现及实例测试

5.1 UNPRE 的设计与实现

5.1.1 污点源识别与轨迹跟踪记录模块的设计与实现

5.1.2 污点传播分析模块的设计与实现

5.1.3 协议格式逆向解析模块的设计与实现

5.2 UNPRE 功能测试

5.2.1 UNPRE 原型系统文件组成

5.2.2 测试环境

5.2.3 测试用例

5.2.4 测试内容

5.2.5 测试步骤

5.2.6 测试结果及分析

5.3 本章小结

结束语

参考文献

作者简历攻读硕士学位期间完成的主要工作

致谢

基于动态二进制分析平台的协议逆向解析技术研究

论文摘要

论文目录

相关论文文献

猜你喜欢