一、应用于病毒分析的逆编译(论文文献综述)
余文健[1](2021)在《基于逆向工程的攻击与检测算法及其应用研究》文中研究说明目前,针对游戏进行逆向分析并开发外挂程序进行攻击和检测非法行为已成为游戏安全领域的重点问题。其中攻击需要基于数据,而针对数据的分析存在明文call难以寻找的问题;检测则需要从不同的角度和出发点进行考量,而针对修改PE输入表注入DLL和外挂运行时恶意行为方面的检测还存在不足。据此,本文研究基于逆向工程的攻击与检测算法,设计并实现一套可用于网络游戏的攻击与检测软件系统,主要贡献如下:(1)提出逆向分析网游明文call的方法。通过对发包函数设置断点,分析封包内容的写入操作或者跟踪封包长度,在逆向追踪的过程中,针对是否触发保护的情况,灵活选择中断还是监控;在层层返回时,根据封包数据的变化规律以及指令中出现的地址,其内部包含的内容何时发生变化,从而进行分析点的更换。实验结果表明,所提出的分析方法能够分析出不同网游的明文call,并在此基础上快速获得其他功能call的地址。(2)提出函数内部调用路径的挖掘算法。主要针对某个API功能失效,发现是其内部调用的某个子API被设置钩子的缘故,若要绕过则需要知道该API内部这个子API被调用的完整路径,从而从被调用的上层进行绕过。实验结果表明,能够对复杂内核API的内部调用路径进行较为完整地挖掘,挖掘总耗时不到35s。(3)提出修改PE输入表注入DLL的检测算法和外挂运行时隐藏恶意行为的检测算法。前者分为两种检测策略,分别是基于合法范围的普通检测算法和基于异常回溯的深度检测算法,从静态和动态的角度对注入的DLL进行检测。后者针对外挂程序已经完全运行的情况下,游戏本身的保护措施不含有对恶意行为的检测功能,从该角度出发提出恶意行为检测算法。实验结果表明,能够有效地检测出修改PE输入表注入的DLL以及外挂运行时的恶意行为并输出警告提示。
许国宁[2](2018)在《基于二进制操作码语义优化的静态病毒检测》文中研究说明恶意软件往往利用计算机系统漏洞和安全防御机制的落后来达到恶意破坏或窃取资料等目的。安全防御机制的目标就是能检测出恶意软件、查杀并恢复其已经造成的破坏、同时制定预防措施,其中最基本的任务就是检测恶意软件。传统的检测一般都是基于人工提取形成的特征库。但是随着恶意软件数量与日俱增,人工分析检测远远不能达到安全防御机制的目标。现阶段提取特征结合分类算法检测恶意软件取得了较好的效果,这些特征能够反映恶意软件行为功能和信息,包括文件结构的信息、系统调用API、操作码、十六进制字节等。本文主要做了如下两项工作:1.针对软件保护技术对样本进行预处理后,提取并对二进制操作码特征进行语义上的去混淆和去冗余,形成N-Gram序列,计算信息增益以筛选分类效果更好的特征序列,并使用支持向量机算法计算最终的检测效果。2.在第一项工作的预处理、特征形式、筛选算法和分类算法的基础上,动态的提取基于线程的Native Api N-gram序列作为特征对比一般的Native Api序列参与恶意软件检测。实验证明了:1.二进制操作码语义优化的特征参与分类计算获得了不错的检测效果,且优化语义的二进制操作码特征的参与的检测效果明显好于二进制操作码特征,并且总体上略好于常用的汇编形式的操作码特征参与的分类计算。2.基于线程的Native Api N-gram序列作为特征参与恶意软件检测的效果明显好于一般的Native Api序列参与的分类效果。
陈石磊[3](2016)在《基于动态汇编指令行为分析的程序功能智能识别技术的研究》文中研究说明随着互联网的飞速发展,用户数据的价值攀升和终端设备的大量拓展使得计算机程序越来越多的融入和影响生活。为了保护用户的隐私和财产,对大量无源码的二进制程序的行为进行检测与识别的重要性愈加明显。本文选择以程序功能识别为主要目标,结合软件逆向、生物信息学、机器学习等领域技术,提出一种面向程序动态行为的、指令级、启发式、高精度、普适的程序功能识别技术。本文设计和采用了离线分析架构,首先通过程序动态行为监控技术记录程序的指令级动态行为,利用基本块索引的日志结构优化行为日志的记录效率;然后提出了汇编指令流的抽象编码方法,根据汇编指令的语义,将汇编指令抽象化成特定的数据结构,以便于后续开展分析;在此之上,设计了三大类特征组成的立体特征体系对程序行为进行全方位的描述,同时结合污点跟踪、序列比对等技术原理,设计并优化多项基于汇编指令流的特征提取技术;继而,提出了基于模型融合技术的机器学习分类模型,能够综合学习特征体系隐含的行为描述信息,智能识别程序的功能。本文研究、设计和实现的整套智能识别技术,拥有高效、准确的特点,能够在广义程序功能识别上取得良好的识别效果。
尤建清,王遵刚[4](2015)在《试论在高校课程中开展“软件逆向”教学》文中研究指明大部分高校的计算机类课程体系中,基本都包含了程序设计、数据结构、算法以及汇编语言等一系列课程,但却较少涉及计算机软件逆向的课程。本文首先介绍了软件逆向的由来及其涵义,接下来分析了在高校现行课程体系中开展"软件逆向"教学的可行性,最后对课程的内容进行了简要的探讨。
张家才[5](2015)在《基于iOS平台的软件逆向工程技术研究与应用》文中提出目前移动智能设备日益普及,针对移动智能设备的恶意软件越来越多。iOS作为新兴的移动智能设备操作系统,其平台下的软件逆向工程技术没有得到国内研究者的重视,国内对这一技术研究不足,相关研究资料严重缺乏,目前国内外也还没有形成一套完整的iOS软件逆向分析方法。因此,研究iOS平台下的软件逆向工程技术具有重要的意义和价值,能在一定程度上弥补国内外这一技术领域研究的不足,有助于提高分析iOS平台下的恶意软件的能力,同时也有助于研究iOS操作系统和App Store中的优秀软件。首先,本文系统介绍了iOS平台下进行软件逆向工程的必要基础知识。归纳分析了iOS的安全特性、可执行程序特性、Objective-C语言特性,基于对这些平台特性的分析,提出了一种“iOS软件逆向分析方法”,指明了该分析方法中存在App砸壳和去除ASLR功能两个难点技术及需要重点研究的“iOS程序理解技术”、静态分析方法、动态分析方法三个关键技术。然后,围绕分析方法中的关键技术的研究,论文提出“iOS程序理解技术”这一概念,重点研究了函数理解技术和流程控制语句识别模型两个关键技术。研究了iOS软件静态逆向分析方法,提出了导入库、导入函数、Objective-C头文件信息提取、硬编码字符串四个静态分析切入点,形成了一套完整的iOS软件逆向静态分析方案。通过研究iOS软件动态逆向分析方法,提出了通信行为分析、文件操作行为分析两种软件行为分析方案,演化了PC机软件逆向调试方法,同时提出了一种基于函数直接返回的代码屏蔽调试方法。另外,围绕分析方法中的难点技术,归纳分析了iOS App砸壳的原理,制定了一套砸壳方案。针对动态调试时,程序地址空间随机分布,难于定位关键数据及代码位置的难题,论文创新的提出"RASLR (Remove ASLR)”方法,实现了程序ASLR功能的去除。最后,论文将某款iOS恶意软件作为靶子,利用论文所提“iOS软件逆向分析方法”对其进行逆向分析,分析结果表明该分析方法具有良好的实用效果。
耿皓[6](2015)在《Android APP安全性检测系统的设计与实现》文中研究指明移动互联网技术发展日新月异,开放的操作平台通过支持开放API为智能移动设备提供了大量精彩的应用,但其开放的特点让很多恶意应用进入应用下载市场。Android操作系统作为智能移动设备的一款主流操作系统,其开放性受到用户追捧的同时,也面对所有开放平台共有的恶意应用泛滥问题,究其原因,一方面由于Android系统的开放程度较高,因此降低了开发者的门槛;另一方面Android应用下载源数量很多,各个源对于源内的应用的质量监测力度比较低,导致恶意应用容易被用户下载、传播。这些恶意应用会在用户毫不知情的情况下窃取用户的隐私数据、发送文本或网络信息定制增值业务、自动连接外部网站等等,这些行为严重侵害了用户的利益。因此如何通过检测恶意应用软件来遏制其对移动智能终端用户造成威胁,已经成为移动互联网开放系统平台直面的一大问题。针对Android操作系统的安全需求,本文从Android APP应用的安全检测角度出发,研究了Android APP应用的静态分析技术,提出一种基于逆编译和代码特征分析的静态分析方法,设计并实现了一个在线Android APP安全检测平台。该平台根据选择的反编译程序对上传的APK文件进行反编译操作,在得到应用程序对应的字节码文件后,将其组织为CFG结构;然后使用选择的分析工具对CFG中的特征代码和异常行为进行检测,判断被检测应用程序的安全性;最终提取相关的特征代码组织为检测报告返回给用户。该平台可以选择不同的逆编译程序和分析工具来在较短时间内对用户上传的APK文件进行不同形式的安全分析,最终生成该应用程序的安全检测报告。最终测试结果表明该系统能够检测出一大部分的应用程序的恶意行为,并且能够在较短时间内完成初次检测、在极短时间内完成后续重复检测,有很高的检测效率。
路保辉[7](2014)在《AMI通信系统及其数据安全策略研究》文中研究说明高级量测体系AMI(Advanced Metering Infrastructure)是传统电网向信息化、自动化和互动化方向迈进的关键技术之一。未来电网的安全运行、控制、保护以及故障恢复等都需要更加高效可靠的通信信息网支持。AMI通信网络承担了测量数据的信息传送,同时需要配合其它系统模块完成需求响应、实时电价、故障检测等功能。在电力物理网和信息通信网进一步融合的同时也必然将信息通信网存在的安全问题引入到电网之中。为了保证电网的安全生产和运营,就需要对电网的通信信息新环境和信息安全策略的部署等问题进行深入研究。同时异构化的网络特性使得信息安全问题成为AMI建设过程中必须着力解决的关键性问题。论文在深入分析了AMI通信系统的结构、应用环境和信息安全风险的基础上,提出了基于开放标准实现AMI通信系统快速部署的技术建议;针对智能电表等嵌入式设备计算和存储资源受限的情况,同时根据AMI应用数据的机密性和完整性保护需求,给出了基于对称密码体制的数据保护方案;同时引入了包含可信第三方密钥管理中心的密钥协商机制,以减少智能电表等设备的计算开销。通过仿真和安全性分析,上述应用设计可以满足AMI通信系统安全要求。论文结果对AMI通信系统的建设具有一定的技术参考价值。
李涛[8](2012)在《某雷达DSP程序高级控制流的恢复》文中研究表明在软件逆向分析中,对控制流的分析是一个很重要的步骤。后续分析很大程度上也依赖于前期对控制流的清楚掌握。控制流的恢复可以理清程序的跳转关系,进而可以清晰地总结出程序的整个流程和其中包含的各种控制结构。本文是对某雷达DSP程序高级控制流恢复的研究,分析如何从一个汇编指令序列构建控制流图,并在此基础上提取隐藏的高级控制结构,如顺序结构、分支结构和循环结构,最终恢复程序的控制流程。论文将整个过程分为前端处理、中间处理、后端处理三个阶段。前端处理负责汇编代码关键信息的提取。中间处理首先对汇编代码划分基本块,论文提出的方法是通过识别跳转关键字的方式来进行划分。然后将这些基本块看做控制流图的节点集,根据基本块的特点,将程序的跳转关系作为连接基本块的边,这样就建立起一张反映程序跳转关系的控制流图。论文通过对控制流图进行遍历,求出每个节点的必经节点集。在此基础上,论文给出了识别分支结构、循环结构的关键要素,针对分支结构的特点,在遍历过程中对分支结构做相应的标记。对于循环结构,采用查找回边和括号定理来识别的方法。后端处理主要负责控制流恢复的结果输出。实验证明,通过本文提出的这种方法,可以自动构建该型号DSP程序的控制流图,并识别其中潜在的分支结构和循环结构,大大提高了软件逆向分析的效率
窦增杰[9](2010)在《可信机制逆向分析平台的设计与实现》文中指出可信计算组织(Trusted Computing Group, TCG)所定义的软件栈(TCG Software Stack, TSS)是可信平台中的关键部件,也是可信机制在操作系统层面的具体实现,其性能直接影响到可信应用程序乃至整个可信平台的安全。鉴于TSS在可信平台中的重要地位,对其进行逆向分析和安全检测具有十分重要的意义。论文在可执行代码逆向分析研究的基础上,结合抽象解释程序分析技术,针对TSS设计并实现了可信机制逆向分析平台。围绕可信机制逆向分析平台,完成的主要工作如下:1.旨在深入理解可信机制并为其逆向分析提供指导,本文在分析TSS功能结构和层次结构的基础上,建立了可信机制特征库。2.为降低反汇编结果的复杂性,屏蔽指令系统及其寻址方式的庞杂性,针对可执行代码的反汇编结果,设计了一种满足语义分析和安全分析要求的中间语言表示方法。3.基于抽象解释理论对可执行程序进行逆向分析。建立起一个X86环境下的抽象域并在该域上定义了指令的抽象语义,设计并实现了程序运行时刻环境的分析算法,从而自动的获取代码中变量的取值范围、数据依赖关系以及内存访问信息等程序属性。4.针对难以从可执行代码中还原复杂数据结构的问题,分别提出了基于可信函数接口和指令语义的数据结构还原方法,有效提高数据结构的识别能力。最后对平台进行了测试,结果表明:可信机制逆向分析平台能够准确的实现二制代码到中间语言的转换;可以完整的提取程序中的数据依赖关系、结构特征、内存访问信息等程序属性,在控制结构恢复和数据结构识别方面都强于主流逆向分析工具;达到为可信机制的安全分析、动态测试以及漏洞发现提供数据的目的。
王强[10](2009)在《基于反编译的可疑行为标注技术的研究与实现》文中进行了进一步梳理随着计算机和网络的普及,病毒、木马和间谍软件等恶意软件的危害性不断提高,波及范围持续扩大。为了应对这种危机,反病毒软件发展也非常迅速,成功地抵御了多种恶意攻击行为。但是,现有的反病毒软件也存在不少问题。首先,现有的反病毒软件大多基于病毒库和特征码机制,对抗新产生的恶意软件效果并不明显。其次,这些反病毒软件只是简单的判别一个软件是否为病毒,而缺乏对其所执行的功能进行的标注。这就使得病毒分析人员很难快速、准确地定位恶意代码的位置。因此分析人员迫切需要一种能够标注程序行为的工具,它能对良性和恶意行为进行区分,合理地表现恶意行为检测的结果,使分析人员能够对该程序的可疑度和危害性进行总体评估。本文在深入研究反编译技术与标注技术的基础上,提出了基于反编译技术进行恶意行为标注的方案——双空间多层次标注方案。在深入分析SVG(Scalable Vector Graphics)技术的基础之上,提出了基于SVG的可疑行为图形化标注技术,并详细阐述了其具体实现过程,构成了双空间多层次标注系统的第一空间。本文在剖析可扩展标记语言XML(eXtensible Markup Language)的技术特点与相关应用的基础上,针对基于反编译的恶意行为信息的结构描述复杂性问题,设计了基于XML的可疑行为描述语言SBDL(Suspicious Behaviors Description Language),为恶意行为特征提供了规范的描述方法,构成了双空间多层次标注系统的第二空间。项目组设计实现的原型系统Radux(Reverse Analysis for Detecting Unsafe eXecutables)采用了本文设计的标注方案,在相关检测算法中实现了恶意行为的多层次标注,该系统已经通过了两家测试单位的相关测试,并在某些单位进行了安装和使用,取得了良好效果,这也验证了本文给出的方案和算法是可行的和有效的。
二、应用于病毒分析的逆编译(论文开题报告)
(1)论文研究背景及目的
此处内容要求:
首先简单简介论文所研究问题的基本概念和背景,再而简单明了地指出论文所要研究解决的具体问题,并提出你的论文准备的观点或解决方法。
写法范例:
本文主要提出一款精简64位RISC处理器存储管理单元结构并详细分析其设计过程。在该MMU结构中,TLB采用叁个分离的TLB,TLB采用基于内容查找的相联存储器并行查找,支持粗粒度为64KB和细粒度为4KB两种页面大小,采用多级分层页表结构映射地址空间,并详细论述了四级页表转换过程,TLB结构组织等。该MMU结构将作为该处理器存储系统实现的一个重要组成部分。
(2)本文研究方法
调查法:该方法是有目的、有系统的搜集有关研究对象的具体信息。
观察法:用自己的感官和辅助工具直接观察研究对象从而得到有关信息。
实验法:通过主支变革、控制研究对象来发现与确认事物间的因果关系。
文献研究法:通过调查文献来获得资料,从而全面的、正确的了解掌握研究方法。
实证研究法:依据现有的科学理论和实践的需要提出设计。
定性分析法:对研究对象进行“质”的方面的研究,这个方法需要计算的数据较少。
定量分析法:通过具体的数字,使人们对研究对象的认识进一步精确化。
跨学科研究法:运用多学科的理论、方法和成果从整体上对某一课题进行研究。
功能分析法:这是社会科学用来分析社会现象的一种方法,从某一功能出发研究多个方面的影响。
模拟法:通过创设一个与原型相似的模型来间接研究原型某种特性的一种形容方法。
三、应用于病毒分析的逆编译(论文提纲范文)
(1)基于逆向工程的攻击与检测算法及其应用研究(论文提纲范文)
| 摘要 |
| abstract |
| 第一章 绪论 |
| 1.1 研究背景与意义 |
| 1.1.1 研究背景 |
| 1.1.2 研究意义 |
| 1.2 研究现状与发展趋势 |
| 1.2.1 研究现状 |
| 1.2.2 发展趋势 |
| 1.3 研究内容与关键问题及主要贡献 |
| 1.3.1 研究内容 |
| 1.3.2 关键问题 |
| 1.3.3 主要贡献 |
| 1.4 本文的结构安排 |
| 第二章 相关理论与技术基础 |
| 2.1 逆向工程原理 |
| 2.2 PE文件结构 |
| 2.3 DLL注入技术 |
| 2.4 Hook技术 |
| 2.5 游戏安全中的检测技术 |
| 2.6 本章小结 |
| 第三章 明文call逆向与攻击算法 |
| 3.1 子线程循环发包的特点 |
| 3.2 逆向分析某网游明文call |
| 3.3 攻击算法设计 |
| 3.3.1 弥补IDA缺陷 |
| 3.3.2 挖掘函数调用路径 |
| 3.3.3 功能流程篡改 |
| 3.4 实验与分析 |
| 3.4.1 实验环境 |
| 3.4.2 实验结果与分析 |
| 3.5 本章小结 |
| 第四章 DLL注入与隐藏恶意行为检测算法 |
| 4.1 修改PE输入表注入DLL的特点 |
| 4.2 隐藏恶意行为检测的特点 |
| 4.3 检测算法设计 |
| 4.3.1 修改PE输入表注入DLL的检测算法 |
| 4.3.2 外挂运行时隐藏恶意行为检测算法 |
| 4.4 实验与分析 |
| 4.4.1 实验环境 |
| 4.4.2 实验结果与分析 |
| 4.5 本章小结 |
| 第五章 攻击与检测算法应用系统 |
| 5.1 需求分析 |
| 5.1.1 功能性需求分类 |
| 5.1.2 需求数据分析过程 |
| 5.1.3 攻击功能 |
| 5.1.4 检测功能 |
| 5.2 概要设计 |
| 5.2.1 系统应用架构设计 |
| 5.2.2 系统技术架构设计 |
| 5.2.3 系统包图 |
| 5.2.4 子系统功能设计 |
| 5.2.5 子系统模块结构 |
| 5.2.6 子系统页面结构 |
| 5.2.7 子系统数据逻辑模型 |
| 5.3 详细设计 |
| 5.3.1 系统实现架构 |
| 5.3.2 软件功能列表定义 |
| 5.3.3 攻击相关功能模块设计 |
| 5.3.4 检测相关功能模块设计 |
| 5.4 测试分析 |
| 5.4.1 检测相关功能模块设计 |
| 5.4.2 功能测试用例 |
| 5.5 本章小结 |
| 第六章 总结与展望 |
| 6.1 总结 |
| 6.2 展望 |
| 致谢 |
| 参考文献 |
| 攻读硕士学位期间取得的成果 |
(2)基于二进制操作码语义优化的静态病毒检测(论文提纲范文)
| 摘要 |
| abstract |
| 第1章 绪论 |
| 1.1 研究背景与意义 |
| 1.2 国内外研究 |
| 1.3 论文的研究内容 |
| 1.4 论文的组织结构 |
| 第2章 恶意软件分析和检测 |
| 2.1 恶意软件类型 |
| 2.2 恶意软件分析 |
| 2.2.1 静态与动态分析 |
| 2.2.2 常用分析和检测方法 |
| 2.3 分类算法 |
| 2.3.1 朴素贝叶斯 |
| 2.3.2 决策树 |
| 2.3.3 支持向量机 |
| 第3章 逆向工程 |
| 3.1 逆向工程 |
| 3.2 逆向的目的 |
| 3.3 常见的逆向工具 |
| 第4章 基于二进制操作码语义优化的静态病毒检测 |
| 4.1 二进制操作码 |
| 4.2 二进制操作码语义优化 |
| 4.2.1 操作码语义 |
| 4.2.2 操作码语义优化 |
| 4.3 软件保护 |
| 4.3.1 调试检测 |
| 4.3.2 反调试 |
| 4.3.3 逆向保护 |
| 4.3.4 反脱壳 |
| 4.4 实验方法和数据 |
| 4.4.1 N-Gram特征序列 |
| 4.4.2 信息增益应用 |
| 4.4.3 实验程序 |
| 4.4.4 实验数据 |
| 4.5 实验结果 |
| 第5章 多线程系统调用的动态恶意程序检测 |
| 5.1 系统调用 |
| 5.1.1 NativeApi |
| 5.1.2 快速系统调用 |
| 5.2 多线程的调度与同步 |
| 5.2.1 多线程 |
| 5.2.2 线程的调度与同步 |
| 5.3 实验方法和数据 |
| 5.3.1 实验方法 |
| 5.3.2 实验数据 |
| 5.4 实验结果 |
| 第6章 结论与展望 |
| 参考文献 |
| 致谢 |
(3)基于动态汇编指令行为分析的程序功能智能识别技术的研究(论文提纲范文)
| 摘要 |
| ABSTRACT |
| 第一章 绪论 |
| 1.1 研究背景 |
| 1.2 研究现状 |
| 1.2.1 基于源代码的程序功能识别技术 |
| 1.2.2 基于静态中间代码生成的功能识别技术 |
| 1.2.3 基于动态程序行为监控的功能识别技术 |
| 1.2.4 研究现状与挑战总结 |
| 1.3 研究内容 |
| 1.4 论文组织架构 |
| 第二章 基于基本块索引的动态程序行为监控技术 |
| 2.1 动态程序行为监控技术研究 |
| 2.1.1 动态二进制插桩技术 |
| 2.1.2 全系统虚拟机技术 |
| 2.1.3 API Hook技术 |
| 2.1.4 研究挑战综述 |
| 2.2 基于基本块索引的程序行为监控技术设计 |
| 2.2.1 技术框架设计 |
| 2.2.2 基于基本块索引的程序流程日志结构 |
| 2.2.2.1 基本块 |
| 2.2.2.2 基本块索引库 |
| 2.2.2.3 程序流程日志 |
| 2.2.3 基于二进制插桩的程序行为记录技术 |
| 2.3 本章小结 |
| 第三章 汇编指令流的行为特征提取技术 |
| 3.1 程序行为特征提取技术研究 |
| 3.1.1 签名常数特征分析技术 |
| 3.1.2 统计行为特征提取技术 |
| 3.1.3 流式行为特征提取技术 |
| 3.1.4 研究挑战综述 |
| 3.2 汇编指令流的程序行为特征提取框架 |
| 3.3 汇编指令的抽象编码 |
| 3.3.1 指令抽象编码 |
| 3.3.2 汇编指令流的抽象编码序列生成 |
| 3.4 汇编指令流的行为特征提取技术 |
| 3.4.1 关键常量特征提取技术 |
| 3.4.1.1 特征定义 |
| 3.4.1.2 常量特征词提取 |
| 3.4.1.3 系统调用特征词提取 |
| 3.4.2 序列相似特征提取技术 |
| 3.4.2.1 汇编指令流相似度度量 |
| 3.4.2.2 标准参照序列筛选 |
| 3.4.2.3 序列相似度特征提取 |
| 3.4.3 语义结构特征提取技术 |
| 3.4.3.1 特征定义 |
| 3.4.3.2 统计特征提取算法 |
| 3.4.3.3 循环嵌套特征提取算法 |
| 3.4.3.4 数据依赖特征提取算法 |
| 3.5 本章小结 |
| 第四章 程序功能智能识别模型设计 |
| 4.1 程序功能识别模型研究 |
| 4.1.1 基于规则的程序功能识别模型 |
| 4.1.2 基于相似度的程序功能识别模型 |
| 4.1.3 基于机器学习的程序功能识别模型 |
| 4.1.4 研究挑战综述 |
| 4.2 程序功能智能识别模型框架 |
| 4.3 基于机器学习的初阶识别模型 |
| 4.3.1 关键常量初阶识别模型 |
| 4.3.1.1 Na(?)ve Bayes分类模型 |
| 4.3.1.2 基于Na(?)ve Bayes分类模型的关键常量初阶识别模型 |
| 4.3.2 序列相似度初阶识别模型 |
| 4.3.2.1 SVM分类算法模型 |
| 4.3.2.2 基于SVM分类算法模型的序列相似度初阶识别模型 |
| 4.3.3 语义结构初阶识别模型 |
| 4.4 基于模型融合的高阶识别模型 |
| 4.4.1 高阶识别模型训练流程 |
| 4.4.2 高阶识别模型识别流程 |
| 4.5 本章小结 |
| 第五章 程序功能智能识别系统的实现与评估 |
| 5.1 原型系统设计与实现 |
| 5.1.1 Recorder:程序行为监控模块 |
| 5.1.2 Abstractor:汇编指令流抽象编码模块 |
| 5.1.3 Extractor:通用特征提取模块 |
| 5.1.4 RefAnalyst:数据依赖分析模块 |
| 5.1.5 LoopDetector:循环嵌套分析模块 |
| 5.1.6 Aligner:序列相似度度量模块 |
| 5.1.7 程序功能识别模型模块 |
| 5.2 测试评估和结果分析 |
| 5.2.1 测试环境和样本集 |
| 5.2.2 特征提取模块的性能测试评估 |
| 5.2.3 程序功能识别模型的分类效果测试 |
| 5.3 本章小结 |
| 第六章 总结与展望 |
| 6.1 论文工作总结 |
| 6.2 后续工作展望 |
| 参考文献 |
| 致谢 |
| 攻读学位期间发表的学术论文 |
(4)试论在高校课程中开展“软件逆向”教学(论文提纲范文)
| 一、问题的引入 |
| 二、“软件逆向”的涵义 |
| 三、开展“软件逆向”教学的可行性 |
| 四、“软件逆向”教学内容刍议 |
(5)基于iOS平台的软件逆向工程技术研究与应用(论文提纲范文)
| 摘要 |
| ABSTRACT |
| 1 绪论 |
| 1.1 研究背景及意义 |
| 1.2 软件逆向工程简介 |
| 1.3 iOS平台软件逆向工程研究现状 |
| 1.4 本文的主要工作 |
| 1.5 论文结构安排 |
| 2 基础知识 |
| 2.1 iOS系统 |
| 2.2 ARM汇编 |
| 2.3 Mach-O文件格式 |
| 2.4 常用工具 |
| 2.5 本章小结 |
| 3 iOS软件逆向分析方法构建 |
| 3.1 安全特性分析 |
| 3.2 可执行程序特性分析 |
| 3.3 Objective-C语言特性分析 |
| 3.4 iOS软件逆向分析方法 |
| 3.5 本章小结 |
| 4 iOS程序理解技术研究 |
| 4.1 函数理解技术 |
| 4.2 流程控制语句识别模型 |
| 4.3 本章小结 |
| 5 分析方法中的难点及关键技术研究 |
| 5.1 App砸壳技术 |
| 5.2 “RASLR”方法 |
| 5.3 iOS软件静态逆向分析 |
| 5.4 iOS软件动态逆向分析 |
| 5.5 本章小结 |
| 6 分析方法应用实践 |
| 6.1 预期目标 |
| 6.2 调试环境搭建 |
| 6.3 逆向分析和调试 |
| 6.4 解密函数还原及验证 |
| 6.5 本章小结 |
| 7 结论和展望 |
| 7.1 结论 |
| 7.2 展望 |
| 参考文献 |
| 致谢 |
| 在校期间的科研成果 |
(6)Android APP安全性检测系统的设计与实现(论文提纲范文)
| 摘要 |
| ABSTRACT |
| 第一章 绪论 |
| 1.1 课题背景 |
| 1.2 ANDROID应用安全的现状 |
| 1.3 应用安全检测系统的现状 |
| 1.4 本人主要工作 |
| 1.5 论文组织结构 |
| 第二章 ANDROID应用安全检测技术的分析 |
| 2.1 ANDROID开发基本原理概述 |
| 2.2 ANDROID应用安全与逆向分析 |
| 2.2.1. Android APP运行原理 |
| 2.2.2. Androguard静态分析 |
| 2.3 ANDROID应用安全监测系统的需求分析 |
| 2.4 本章小结 |
| 第三章 面向ANDROID应用安全检测系统的概要设计 |
| 3.1 系统的设计目标及思路 |
| 3.2 系统描述与整体架构设计 |
| 3.2.1. 整体架构的设计 |
| 3.2.2. 系统重点架构的说明 |
| 3.3 系统的总体功能设计 |
| 3.3.1. 系统功能描述与用例模型 |
| 3.3.2. 系统关键组成元件的描述 |
| 3.4 本章小结 |
| 第四章 面向ANDROID应用安全检测系统的详细设计 |
| 4.1 CFG生成器的详细设计描述 |
| 4.1.1. 循环探测器的设计 |
| 4.1.2. 基本块访问顺序计算器设计 |
| 4.1.3. IeP-CFG生成器的设计 |
| 4.2 污点分析器的详细设计描述 |
| 4.3 系统的设计模式描述 |
| 4.4 本章小结 |
| 第五章 面向ANDROID应用安全检测系统的实现 |
| 5.1 安全检测核心功能的实现 |
| 5.1.1. CFG生成器的实现 |
| 5.1.2. 污点分析器的实现 |
| 5.2 安全检测系统的实现 |
| 5.2.1. 核心功能模块的集成 |
| 5.2.2. 设计模式的实现 |
| 5.3 本章小结 |
| 第六章 面向ANDROID应用安全检测系统的测试及分析 |
| 6.1 测试环境与方法 |
| 6.2 系统测试情况总结及分析 |
| 第七章 结束语 |
| 7.1 论文工作总结 |
| 7.2 问题和展望 |
| 参考文献 |
| 致谢 |
| 攻读学位期间发表的学术论文和申请的发明专利 |
(7)AMI通信系统及其数据安全策略研究(论文提纲范文)
| 摘要 |
| Abstract |
| 第1章 绪论 |
| 1.1 选题背景及意义 |
| 1.2 国内外研究动态 |
| 1.3 本文的主要研究内容 |
| 第2章 AMI通信系统简介及风险分析 |
| 2.1 AMI的系统结构和通信网络 |
| 2.1.1 AMI的系统结构简介 |
| 2.1.2 AMI的通信网络特点 |
| 2.1.3 AMI系统的脆弱性表现 |
| 2.2 AMI的安全风险分析 |
| 2.2.1 AMI应用环境的潜在安全风险 |
| 2.2.2 AMI安全风险与数据安全目标 |
| 2.2.3 AMI通信系统的常见安全攻击 |
| 2.2.4 安全攻击与保护方法 |
| 2.3 小结 |
| 第3章 AMI通信系统的协议集成 |
| 3.1 AMI通信系统相关技术标准 |
| 3.2 AMI通信协议栈的分析 |
| 3.2.1 基于IP全光网络的协议集成 |
| 3.2.2 基于有线与无线融合的协议集成 |
| 3.3 基于IPv6的智能电表无线网络 |
| 3.4 小结 |
| 第4章 AMI的数据安全和加密方法 |
| 4.1 基于公共标准的数据安全机制 |
| 4.1.1 IEEE 802.15.4的数据链路层安全机制 |
| 4.1.2 基于IEC 62056的应用层安全机制 |
| 4.1.3 基于IPsec协议的E2E安全机制 |
| 4.2 实现轻量级的数据安全机制 |
| 4.2.1 压缩的IPv6和IPsec报头格式 |
| 4.2.2 基于AES的数据机密性保护措施 |
| 4.2.3 基于GCM模式的运行保密模式 |
| 4.2.4 数据完整性的保护方法 |
| 4.3 数据安全措施的实现方法和实验仿真 |
| 4.4 小结 |
| 第5章 智能电表无线通信系统的密钥管理 |
| 5.1 AMI的密钥与信息安全管理域 |
| 5.2 AMI无线网络的密钥管理简介 |
| 5.3 基于Blom矩阵算法的密钥管理协议简介 |
| 5.3.1 基于Blom矩阵算法的密钥管理协议 |
| 5.3.2 增强的无线网络Blom密钥管理协议 |
| 5.4 密钥管理协议的性能分析 |
| 5.5 小结 |
| 第6章 总结及展望 |
| 6.1 总结 |
| 6.2 展望 |
| 参考文献 |
| 在校期间发表的学术论文和参加科研情况 |
| 致谢 |
(8)某雷达DSP程序高级控制流的恢复(论文提纲范文)
| 摘要 |
| Abstract |
| 第一章 绪论 |
| 1.1 背景分析 |
| 1.2 国内外研究现状及趋势 |
| 1.3 主要研究内容 |
| 1.4 论文的意义 |
| 第二章 软件逆向分析和项目介绍 |
| 2.1 软件逆向分析步骤 |
| 2.2 软件逆向分析方法 |
| 2.3 逆向分析的相关技术 |
| 2.4 项目介绍 |
| 2.5 TS101的指令系统 |
| 第三章 常见控制结构在汇编中的形式 |
| 3.1 顺序结构 |
| 3.2 分支结构 |
| 3.3 循环结构 |
| 第四章 控制流恢复分析 |
| 4.1 汇编程序的装载解码 |
| 4.2 基本块划分算法 |
| 4.3 基本块的类型 |
| 4.4 控制流图的建立 |
| 4.5 括号定理 |
| 4.6 图的结构化 |
| 4.6.1 结构化循环 |
| 4.6.2 结构化分支 |
| 4.6.3 可归约流图 |
| 第五章 结构化算法 |
| 5.1 控制流图的遍历 |
| 5.2 必经节点集的确定 |
| 5.3 条件子图的创建 |
| 5.4 循环子图的构建算法 |
| 5.5 常见问题及对策 |
| 5.6 系统测试 |
| 结论 |
| 参考文献 |
| 致谢 |
(9)可信机制逆向分析平台的设计与实现(论文提纲范文)
| 表目录 |
| 图目录 |
| 摘要 |
| ABSTRACT |
| 第一章 绪论 |
| 1.1 课题的研究背景 |
| 1.2 课题的研究意义 |
| 1.3 国内外研究现状 |
| 1.3.1 可信计算研究现状 |
| 1.3.2 软件逆向分析研究现状 |
| 1.4 论文的研究内容 |
| 1.5 论文的组织结构 |
| 第二章 可信计算与抽象解释程序分析基础理论 |
| 2.1 可信计算基础理论 |
| 2.1.1 可信计算的定义 |
| 2.1.2 可信计算平台 |
| 2.2 TCG 软件栈 |
| 2.2.1 TCG 软件栈的功能 |
| 2.2.2 TCG 软件栈的架构 |
| 2.3 抽象解释程序分析基础理论 |
| 2.3.1 抽象解释的一些术语 |
| 2.3.2 抽象解释的组成部分 |
| 2.4 本章小结 |
| 第三章 可信机制逆向分析平台的总体设计 |
| 3.1 可信机制逆向分析平台的总体架构 |
| 3.2 可信机制逆向分析平台的总体设计 |
| 3.2.1 中间表示模块的设计 |
| 3.2.2 运行时刻环境分析模块的设计 |
| 3.2.3 数据结构还原模块的设计 |
| 3.3 可信机制特征库的建立 |
| 3.3.1 TSS 功能模型的建立 |
| 3.3.2 TPM 缓存密钥管理机制 |
| 3.3.3 保护存储机制 |
| 3.3.4 认证会话机制 |
| 3.3.5 主流TSS 架构分析 |
| 3.4 本章小结 |
| 第四章 中间表示模块的设计与实现 |
| 4.1 SAIR 的语法和语义 |
| 4.1.1 SAIR 的语法 |
| 4.1.2 SAIR 的形式语义 |
| 4.1.3 SAIR 含有过程的扩展 |
| 4.1.4 标志位的处理 |
| 4.2 基于SAIR 的控制结构分析 |
| 4.2.1 SAIR 控制结构的分析函数 |
| 4.2.2 SAIR 控制结构的分析算法 |
| 4.3 本章小结 |
| 第五章 运行时刻环境分析模块的设计与实现 |
| 5.1 可执行程序抽象存储域的建立 |
| 5.1.1 存储模型的抽象 |
| 5.1.2 抽象存储模型中基本变量的表示 |
| 5.2 程序运行时刻环境的描述 |
| 5.2.1 抽象存储模型中变量取值域的定义 |
| 5.2.2 值集的定义 |
| 5.2.3 程序运行时刻环境的抽象表示 |
| 5.3 程序运行时刻环境的分析 |
| 5.3.1 数据流方程的建立 |
| 5.3.2 指令的抽象迁移函数 |
| 5.3.3 算法的具体实现 |
| 5.3.4 循环约束条件的判定 |
| 5.3.5 分析举例 |
| 5.3.6 提高分析精度的方法 |
| 5.4 本章小结 |
| 第六章 数据结构还原模块的设计与实现 |
| 6.1 数据结构还原关键问题分析 |
| 6.2 基于可信接口的数据结构还原 |
| 6.2.1 TSS 的数据类型分析 |
| 6.2.2 TSS 的函数接口分析 |
| 6.2.3 函数调用约定的处理 |
| 6.3 基于语义的数据结构还原 |
| 6.3.1 原理分析 |
| 6.3.2 关键技术分析 |
| 6.3.3 基于程序运行时刻环境的数据结构还原 |
| 6.4 数据结构的前后向传播 |
| 6.4.1 SAIR 指令的数据流信息 |
| 6.4.2 du 链和ud 链的求解算法 |
| 6.5 本章小结 |
| 第七章 测试与分析 |
| 7.1 测试概述 |
| 7.1.1 测试环境 |
| 7.1.2 测试对象 |
| 7.1.3 测试目标 |
| 7.2 功能测试 |
| 7.2.1 测试内容 |
| 7.2.2 SAIR 转化的测试 |
| 7.2.3 代码控制结构分析的测试 |
| 7.2.4 数据结构还原模块的测试 |
| 7.2.5 主流TSS 逆向分析结果 |
| 7.2.6 测试结果分析 |
| 7.3 本章小结 |
| 结束语 |
| 参考文献 |
| 作者简历 攻读硕士学位期间完成的主要工作 |
| 致谢 |
(10)基于反编译的可疑行为标注技术的研究与实现(论文提纲范文)
| 表目录 |
| 图目录 |
| 摘要 |
| ABSTRACT |
| 第一章 绪论 |
| 1.1 课题背景 |
| 1.2 课题来源 |
| 1.3 研究内容 |
| 1.4 本文的组织结构 |
| 第二章 反编译与可疑行为标注 |
| 2.1 反编译技术简介 |
| 2.1.1 反编译技术的产生与发展 |
| 2.1.2 反编译的基本过程 |
| 2.1.3 反编译技术的应用前景 |
| 2.2 标注与标注技术 |
| 2.2.1 标注的基本概念 |
| 2.2.2 标注的相关应用 |
| 2.2.3 反编译中的可疑行为标注 |
| 2.3 本章小结 |
| 第三章 图形化标注的设计与实现 |
| 3.1 SVG 技术介绍 |
| 3.1.1 SVG 规范概述 |
| 3.1.2 SVG 的特点 |
| 3.1.3 SVG 文档的结构 |
| 3.1.4 SVG 用于程序流程图描述 |
| 3.2 DOT 语言 |
| 3.2.1 DOT 语言的特点 |
| 3.2.2 DOT 语言的文法 |
| 3.2.3 图形属性 |
| 3.3 可疑行为的多层次标注 |
| 3.3.1 多层次标注体系的框架结构 |
| 3.3.2 多层次标注的设计与实现 |
| 3.4 本章小结 |
| 第四章 可疑行为描述语言的设计 |
| 4.1 XML 及其应用 |
| 4.1.1 XML 的产生 |
| 4.1.2 XML 的特点 |
| 4.1.3 XML 的相关应用 |
| 4.2 可疑行为描述语言设计 |
| 4.2.1 SBDL 语言的定义与数据模型设计 |
| 4.2.2 XML Schema 设计 |
| 4.2.3 SBDL 文档的生成 |
| 4.2.4 SBDL 文档的验证 |
| 4.2.5 SBDL 文档的显示 |
| 4.3 本章小结 |
| 第五章 测试结果分析 |
| 5.1 测试集的选择 |
| 5.2 标注效果及其显示 |
| 5.3 实例分析 |
| 5.4 测试结论 |
| 结束语 |
| 参考文献 |
| 附录 Bolzano 病毒标注结果的部分DOT 代码 |
| 作者简历 攻读硕士学位期间完成的主要工作 |
| 致谢 |
四、应用于病毒分析的逆编译(论文参考文献)
- [1]基于逆向工程的攻击与检测算法及其应用研究[D]. 余文健. 电子科技大学, 2021(01)
- [2]基于二进制操作码语义优化的静态病毒检测[D]. 许国宁. 上海师范大学, 2018(08)
- [3]基于动态汇编指令行为分析的程序功能智能识别技术的研究[D]. 陈石磊. 北京邮电大学, 2016(04)
- [4]试论在高校课程中开展“软件逆向”教学[J]. 尤建清,王遵刚. 亚太教育, 2015(26)
- [5]基于iOS平台的软件逆向工程技术研究与应用[D]. 张家才. 四川师范大学, 2015(03)
- [6]Android APP安全性检测系统的设计与实现[D]. 耿皓. 北京邮电大学, 2015(08)
- [7]AMI通信系统及其数据安全策略研究[D]. 路保辉. 华北电力大学, 2014(01)
- [8]某雷达DSP程序高级控制流的恢复[D]. 李涛. 西北大学, 2012(05)
- [9]可信机制逆向分析平台的设计与实现[D]. 窦增杰. 解放军信息工程大学, 2010(02)
- [10]基于反编译的可疑行为标注技术的研究与实现[D]. 王强. 解放军信息工程大学, 2009(02)