[发明专利]一种基于树结构的密码算法逻辑表达式识别方法

说明书

技术领域

本发明属于二进制逆向工程和信息安全技术领域，特别涉及一种基于树结构的密码算法逻辑表达式识别方法。

背景技术

随着计算机科学技术及网络通信技术的飞速发展，社会进入了信息时代，人们通过计算机网络交换信息的频率越来越高，在信息化的过程中，信息交换在广度和深度上的发展也使得信息交换过程中的信息安全越来越被人们所关注。信息的保密通信、安全存贮、完整性保护、鉴别、签名和验证等都离不开密码算法的使用，密码算法是信息保密技术的核心；尤其在军事领域中，密码算法的安全性有着不可估量的重要作用；此外，一些恶意软件也采用密码算法的加密机制对其恶意行为进行隐藏；因此，对目标二进制文件中的加解密模块进行逆向解析，进而理解其组成状况及运行机制，在安全性分析、恶意软件查找等方面有着重要意义。

软件系统中的加解密模块通常由几个密码算法有机组成，采用逆向分析技术（反汇编、反编译等）识别软件系统所采用的密码算法，并对其位置进行定位，使分析工作更具有针对性，从而提高分析工作的准确性和效率，因此识别软件系统的密码算法具有重要作用和意义。

传统的密码算法识别通过构建静态特征码库，来对目标文件进行匹配，以常用的密码算法AES（American Encryption Standard）为例，其算法实现时通常会用到一个固定的S盒，来实现明文分组的替换。这种方法程序实现比较简单，检测效率较高（二进制码匹配），然而存在一定的局限性：首先，这种方法需要对密码算法实现时用到的常数特征进行收集，并构建特征库，不能应对变形算法以及未使用常数特征的算法；其次，密码算法静态特征码通常用在初始化阶段，找到密码核心函数还需要进一步手动分析。

另一种方法是针对密码函数统计特征进行判别，这种方法在对目标程序反汇编的基础上，根据密码算法使用的逻辑运算、算术运算等指令频次，在对大量目标程序训练后，采用Bayes决策、神经网络等分类模型进行判别。这种方法具有一定的局限性：首先需要进行数据训练，训练集合的大小以及训练的合理性直接决定判定结果；其次，判别结果只能筛选出疑似密码核心函数，不能标注具体算法名称，结果需要人工进一步分析；另外，一些逻辑操作和算术操作比较多的非密码函数会被误判为密码函数。

此外，随着Windows平台下的动态分析技术不断发展和完善，也出现了一些密码算法动态识别方法，但是由于动态跟踪需要记录大量的数据，识别效率是其最大的瓶颈。

发明内容

本发明针对现有技术不足，为了提高密码算法识别的准确性和效率，缩短密码函数分析周期，提出一种基于树结构的密码算法逻辑表达式识别方法。

本发明所采用的技术方案：

一种基于树结构的密码算法逻辑表达式识别方法，通过下述步骤识别密码算法及密码函数：

1）通过研究不同密码算法的实现原理，抽取出密码算法实现中所使用的逻辑表达式LE（Logic Expression），采用树形结构存储到密码算法逻辑表达式特征数据库T_character中；

2）对待识别的目标程序进行反汇编分析，得到目标程序的函数序列P<F₁,F₂…F_n>，对函数F_i进行局部（基本块内）数据流分析，构建仅含有逻辑操作的抽象语法树集合F_i<T₁,T₂…T_m>，即目标模式树；其中m是抽象语法树个数，n是函数个数；

3）根据密码算法逻辑表达式特征数据库T_characte，使用树结构的匹配算法M(T_target,T_character)，对目标程序的函数F_i抽象语法树集合进行匹配，并记录匹配结果；

4）重复第3步，直到所有函数完成匹配；

5）对匹配结果进行梳理，标注的信息主要有：函数名（Function_Name）、密码算法名称（CA_Name）、逻辑表达式的内容（LE_Content）、LE在文件中的偏移地址（LE_Address）。

所述的基于树结构的密码算法逻辑表达式识别方法，采用模式树构建算法PTCA（Pattern Tree Create Algorithm），构建密码算法逻辑表达式特征数据库T_character，具体流程如下：