[发明专利]一种程序比对方法及系统

说明书

本发明提供一种程序比对方法及系统，该方法包括：分别建立目标程序对应的目标函数调用图和待比对程序对应的待比对函数调用图；获取目标函数调用图中的目标锚点和待比对函数调用图中的待比对锚点；获取目标锚点对应的目标边和待比对锚点对应的待比对边，将目标边另一端的函数节点重新作为目标锚点，将待比对边另一端的函数节点重新作为待比对锚点，重复上述过程，直到获取所有的对齐锚点；根据目标函数调用图和待比对函数调用图中的所有对齐锚点，判断目标程序和待比对程序之间是否具有相同的执行逻辑。本发明通过采用程序的函数调用图和神经网络技术来对子图中的边进行嵌入式表示，实现了程序的自动比对。

技术领域

本发明涉及计算机技术领域，尤其涉及一种程序比对方法及系统。

背景技术

二进制程序分析也称二进制程序逆向工程(Reverse Engineering)，是一种旨在从经过原始可执行程序中，提取高级语义信息的技术。软件逆向在很多领域都有着非常重要的作用：在威胁情报系统中，需要逆向工程来分析敌手的工具；在黑盒测试中，需要逆向工程来挖掘软件漏洞；在软件版权保护中，需要逆向工程进行软件组成分析，等等。

逆向工程的核心是要把机器执行的程序尽可能高度地凝练为人类文字可以描述的计算机行为、功能。由于可执行程序是一种给计算机理解的强逻辑的执行流程，与人类语义天然上存在鸿沟，因此逆向工程迄今依然是一个需要大量专业人力的工作。目前，逆向辅助工具的一个重要发展方向就是复用逆向过程中带有重复性质的过程，尽可能多地复用已有的分析结果。诸如系统库函数识别，加密函数识别，二进制比对等都是这个方向上的重要应用。

逆向复用的前提是找到足够且有说服力的共性特征将新程序与已有的分析程序进行对应关联。在相同的硬件架构下，一些语义相近的二进制程序可能会有接近的表现形式(即：非常相似的汇编指令组合)，从而形成一定可循的规律方便进行自动化地检测识别已经分析过的二进制代码。

但是在跨架构的场景下，想要复用已有的逆向分析结果是很困难的。因为即使是相同源码编译出的程序，在不同架构下的表现形式会差别非常大。例如x86和ARM架构下的寄存器调用约定和汇编指令的字节码都相去甚远，因此前述的方法极难扩展到跨架构的场景。

随着物联网(IoT)的渐成规模，各种架构平台的设备都将面临更大的安全暴露面。

但是目前跨架构的二进制程序比对依然需要大量的人工分析，具有较低的自动化能力，不能很好地适应大量物联网部署之后的安全分析需求。

发明内容

本发明提供一种程序比对方法及系统，用以解决现有技术中只能通过人工分析对二进制程序进行比对的缺陷，实现自动化的二进制程序比对。

本发明提供一种程序比对方法，包括：

分别建立目标程序对应的目标函数调用图和待比对程序对应的待比对函数调用图；

获取所述目标函数调用图中的目标锚点和所述待比对函数调用图中的待比对锚点，所述目标锚点与所述待比对锚点之间的相似度大于第一预设阈值，所述目标锚点和所述待比对锚点为一组对齐锚点；

获取目标锚点对应的目标边和所述待比对锚点对应的待比对边，将所述目标边另一端的函数节点重新作为目标锚点，将所述待比对边另一端的函数节点重新作为待比对锚点，重复上述过程，直到获取所有的对齐锚点，所述目标边与所述待比对边之间的相似度大于第二预设阈值，所述目标锚点位于所述目标边的一端，所述待比对锚点位于所述待比对边的一端；

根据所述目标函数调用图和所述待比对函数调用图中的所有对齐锚点，判断所述目标程序和所述待比对程序之间是否具有相同的执行逻辑。

根据本发明提供一种的程序比对方法，所述获取所述目标函数调用图中的目标锚点和所述待比对函数调用图中的待比对锚点，包括：