[发明专利]基于二进制熵的模糊测试加解密函数定位方法

说明书

本发明涉及一种基于二进制熵的加解密函数的定位方法，属于信息安全中的二进制漏洞挖掘领域，目的是为解决模糊测试中加解密函数的定位能力不足、尤其是区分加解密与其他类似运算易出现误判的问题。本方法采用二进制熵分析的方法，首先观察关键内存位置的指令特征，若发现疑似加解密运算后，进行动态分析，取出敏感操作对应的一段连续内存，分别对其进行块密码分析和流密码分析，因为加解密函数与哈希算法的指令特征非常相似，所以为排除哈希算法对加密判断的影响，进行哈希运算检测。由于可能存在其他私有的加解密方法，再对上述结果进行二进制熵分析，最后通过综合判定定位加解密函数的位置。本发明准确率较高，空间消耗低，适用于对精度要求较高、数据量较大的模糊测试领域，具有很好的应用价值和推广价值。

技术领域

本发明涉及一种基于二进制熵的加解密函数的定位方法，属于信息安全中的二进制漏洞挖掘领域。

背景技术

软件、协议漏洞可以使攻击者在未授权的情况下对系统进行访问或破坏，严重威胁到信息系统的安全，因此对漏洞问题的研究已成为当下信息安全领域的重要研究内容。目前，利用软件在危害发生前挖掘漏洞已成为行之有效的解决安全漏洞的方法，因此，漏洞挖掘对保护信息系统安全有着至关重要的作用。

模糊测试技术是目前安全领域最常用、综合效果较好的漏洞挖掘方法，该技术通过向目标系统提供随机构造的测试用例(非预期输入，即经过变异的输入数据，该数据随机性强，不可预测性大)，监视系统的执行过程是否出现崩溃、挂起或其他异常，判定目标系统是否存在安全问题。但随机构造的测试用例不可预测性大，对于包含加解密函数的目标系统程序，通常由于复杂的运算操作导致测试效果显著降低，比如加解密函数导致数据的格式信息被混淆，使得加密字段的变异仅仅是测试解密函数，却往往测不到加密函数后的主要程序流程。目前解决该问题的有效方法即是定位加解密函数在程序中的位置，因此，本发明将提供一种基于二进制熵的方法对加解密函数在程序中的位置进行定位。

目前定位加解密函数的常用方法主要有四类：

1.人工分析定位

这种方法主要针对非公开协议，由经验丰富的分析人员分析输入字段，从而确定加解密函数的位置。但很多程序使用私有加密算法或经过代码混淆，协议包含大量未知字段和变长字段，难以准确定位加解密函数位置，而且持续时间长，效果却不尽人意，因此人工分析方法定位加解密函数的的代价越来越高。

2.静态分析定位

这种方法通过定位算法对加解密函数进行自动定位。虽然该方法的定位算法比较稳定、精确度高、资源消耗少，但由于无法获得程序运行时的信息流数据，只能判定是否存在某种算法，即使定位到加解密函数的位置也无法进行模糊测试；过度依赖于算法模式匹配，由于是通过算法特征片段的签名进行模式匹配，所以对于更新签名后的算法或未知算法该方法的判断效果较差；无法检测经过加密、混淆的程序和数据。

3.基于流量的分析定位

该方法主要通过报文各字节的变化规律和频率提取协议信息，平台通用性较高，但只能判定是否包含加解密函数，无法获得程序运行时的函数定位信息，因此难以应用到二进制程序的模糊测试中。

4.基于动态的定位

该方法采用符号执行、反调试等手段获得动态执行过程中的控制流信息，采用污点跟踪获得信息流信息，通过分析控制流信息、信息流信息、程序行为和汇编指令特征，定位加解密函数的位置，但容易受哈希等其他运算的影响，导致定位不准确。

综上所述，加解密函数定位方法中人工分析和静态定位的缺点较为明显，实用价值较小；流量分析法只能确定有无加解密函数，无法在程序中定位，而动态定位法易受到哈希等其他的影响，导致定位不准确。所以本发明提出了一种基于二进制熵的加解密函数定位方法，用于定位程序的加解密函数，并在二进制程序中具有良好的效果。

发明内容