[发明专利]一种在嵌入式设备中识别二进制函数的应用方法

说明书

本发明公开了一种在嵌入式设备中识别二进制函数的应用方法，包含以下步骤：A、对文件进行动态签名；B、对动态签名后的文件进行动态提取特征；C、签名生成；D、可行性分析，本发明在嵌入式设备中识别二进制函数的应用方法使用机器学习模型将函数识别研究者从繁重的特征学习和选择工作中解放出来，同时降低对研究者知识储备的要求。并能够解决传统识别方法无法解决的未知函数识别。

技术领域

本发明涉及嵌入式技术领域，具体是一种在嵌入式设备中识别二进制函数的应用方法。

背景技术

当人们无法得到想要的知识、思想和设计理念时，通常采用逆向工程的方法来获取。随着软件业的发展，逆向工程也被引入软件工程领域。1990年,Chikofisky对软件逆向给出了如下定义：软件逆向工程是分析目标系统，认定系统的组件及其交互关系，并且通过高层抽象或其他的形式来展现目标系统的过程。

计算机技术的不断发展使得信息系统的安全性的更加脆弱。正是这些安全脆弱性导致病毒等不安全代码的产生与泛滥。不安全代码不仅给企业和用户带来巨大经济损失，而且使国家的安全面临着严重威胁。随着Internet的开放性以及信息共享的进一步增强，恶意代码编写者的水平越来越高，他们利用各种隐藏加密技术、模糊变换技术等提高代码的生存能力。

函数识别是一种将二进制代码分类成函数近似原始函数的一种二元分析技术，它是二进制指令、二进制级搜索领域、二进制保护等领域的构建起着重要作用，包括控制流完整性(CFI)。而且，准确的函数识别对那些依赖对复杂二进制推理的逆向工程师至关重要。

数字信息技术和网络技术不断在高速发展，如今，我们已经进入了后PC时代。计算机网络安全问题已经涉及我们的工作和生活中，无处不在。但是后PC时代的大部分计算机的存在形式是非计算机的电子设备，核心部分都是有计算机的，但很多还是以嵌入式的形式。比如家庭当中的家用电器，到办公室的一些远程会议系统，嵌入式系统深入到生活的方方面面，嵌入式软件最为核心的问题自然也是软件安全问题，嵌入式软件由于专用性强，实时性要求高，对硬件依赖度高的特点，对软件安全提出了更高的要求。软件在实现过程中，产生软件安全问题的根本问题是缺陷问题，漏洞是一些危险性较大的缺陷。随着应用的推广，嵌入式软件的数量和种类快速增加，随之而来的软件缺陷和漏洞也在快速增长，给社会带来了一定的经济损失。因此，嵌入式系统的软件安全研究更需要迫切解决。

在嵌入式设备的设计与使用中，ARM微处理器凭借其体积小、低功耗、低成本、高性能等特点，被广泛地运用在工业控制、无线通信、网络应用、消费类电子产品等领域。在分析嵌入式代码的过程中，函数识别是整个分析过程中至关重要的一步，因此研究基于ＡＲＭ微处理器的函数识别对整个嵌入式代码逆向分析技术来说具有重要的应用价值和意义。在本发明中提出一种新的自动识别算法，通过对指令的二进制编码判断其是否为函数模块的起始地址。

发明内容

本发明的目的在于提供一种在嵌入式设备中识别二进制函数的应用方法，以解决所述背景技术中提出的问题。

为实现所述目的，本发明提供如下技术方案：

一种在嵌入式设备中识别二进制函数的应用方法，包含以下步骤：

A、对文件进行动态签名；

B、对动态签名后的文件进行动态提取特征；

C、签名生成；

D、可行性分析。

作为本发明的进一步技术方案：所述步骤A中的文件是在静态函数识别时建立的与可执行程序中识别出来的函数模块进行比对的一种文件。

作为本发明的进一步技术方案：所述文件的特征代码为函数的前32个字节。

作为本发明的进一步技术方案：所述动态提取特征包括一次特征提取和二次特征提取。