Alternating Control Flow Reconstruction

Kinder, Johannes; Kravchenko, Dmitry

doi:10.1007/978-3-642-27940-9_18

Cited by 24 publications

(19 citation statements)

References 17 publications

Supporting

Mentioning

Contrasting

Unclassified

Order By: Relevance

“…Researchers have been trying to automatically counteract control flow flattening techniques for years [37], but not many effective tools are available, one notable exception being Johannes Kinder's Jakstab [39,40,41,42]. However, at the current state of the art no automated approach is effective in reverse-engineering code obfuscated by state-of-the-art control flow flattening [43], severely crippling the capabilities of binary obfuscated binary reverseengineering.…”

Section: Related Workmentioning

confidence: 99%

Effectiveness of synthesis in concolic deobfuscation

Biondi

Josse²,

Legay

et al. 2017

Computers & Security

View full text Add to dashboard Cite

Control flow obfuscation techniques can be used to hinder software reverseengineering. Symbolic analysis can counteract these techniques, but only if they can analyze obfuscated conditional statements. We evaluate the use of dynamic synthesis to complement symbolic analysis in the analysis of obfuscated conditionals. We test this approach on the taint-analysis-resistant Mixed Boolean Arithmetics (MBA) obfuscation method that is commonly used to obfuscate and randomly diversify statements. We experimentally ascertain the practical feasibility of MBA obfuscation. We study using SMT-based approaches with different state-of-the-art SMT solvers to counteract MBA obfuscation, and we show how targeted algebraic simplification can greatly reduce the analysis time. We show that synthesis-based deobfuscation is more effective than current SMT-based deobfuscation algorithms, thus proposing a synthesis-based attacker model to complement existing attacker models.

show abstract

Section: Related Workmentioning

confidence: 99%

Effectiveness of synthesis in concolic deobfuscation

Biondi

Josse²,

Legay

et al. 2017

Computers & Security

View full text Add to dashboard Cite

show abstract

“…Our domain, combined with the call stack and the forward substitution domains of Jakstab (./jakstab --cpa sfz), is able to disassemble the unit test examples shipped with Jakstab. It also disassembles two of the three case studies from Kinder [15], the exception being demo3.exe, where our simplified widening causes a target of an indirect if(a > b) . .…”

Section: Discussionmentioning

confidence: 96%

“…With a combination of a widening and narrowing operator, optimized for the analysis of executables [4], our domain might be able to disassemble this example as well. For the demo2.exe example, our domain identifies two more instructions to be dead code than the original paper [15].…”

Section: Discussionmentioning

confidence: 99%

A non-convex abstract domain for the value analysis of binaries

Mattsen

Wichmann

Schupp

2015

2015 IEEE 22nd International Conference on Software Analysis, Evolution, and Reengineering (SANER)

View full text Add to dashboard Cite

A challenge in sound reverse engineering of binary executables is to determine sets of possible targets for dynamic jumps. One technique to address this challenge is abstract interpretation, where singleton values in registers and memory locations are overapproximated to collections of possible values. With contemporary abstract interpretation techniques, convexity is usually enforced on these collections, which causes unacceptable loss of precision. We present a non-convex abstract domain, suitable for the analysis of binary executables. The domain is based on binary decision diagrams (BDD) to allow an efficient representation of non-convex sets of integers. Non-convex sets are necessary to represent the results of jump table lookups and bitwise operations, which are more frequent in executables than in high-level code because of optimizing compilers. Our domain computes abstract bitwise and arithmetic operations precisely and looses precision only for division and multiplication. Because the operations are defined on the structure of the BDDs, they remain efficient even if executed on very large sets. In executables, conditional jumps require solving formulas built with negation and conjunction. We implement a constraint solver using the fast intersection and complementation of BDD-based sets. Our domain is implemented as a plug-in, called BDDStab, and integrated with the binary analysis framework Jakstab. We use Jakstab's k-set and interval domains to discuss the increase in precision for a selection of compiler-generated executables.

show abstract

“…BE-PUM sử dụng thƣ viện mã nguồn mở Jackstab [10,11,14] để dịch ngƣợc mã nhị phân cho từng câu lệnh hợp ngữ tƣơng ứng với từng câu lệnh thực thi của tập tin và chƣơng trình SMT Z3.4.4 7 để giải các điều kiện, từ đó tìm ra đƣờng đi có tính khả thi.…”

Section: Giới Thiệu Be-pumunclassified

Sử Dụng Phương Pháp Hình Thức Để Nhận Dạng Packer

Hải¹,

Phong²,

Thơ³

2017

Fair - Nghiên Cứu Cơ Bản Và Ứng Dụng Công Nghệ Thông Tin - 2016

View full text Add to dashboard Cite

Từ khóa-Phân tích virus, an toàn thông tin, phương pháp hình thức, packer. I. GIỚI THIỆUMalwares là những chƣơng trình máy tính độc hại xâm nhập vào hệ thống một cách trái phép với mục tiêu là ăn cắp thông tin, phá hủy hay làm hƣ hỏng hệ thống [1]. Những chƣơng trình malware này gây ra những thiệt hại to lớn về mặt tiền bạc đối với các cá nhân, tổ chức và các cơ quan chính phủ. Malware đƣợc chia thành nhiều loại khác nhau nhƣ: virus, trojan horse, spammer…Có 2 phƣơng pháp chính để phát hiện malware, có thể kể đến phƣơng pháp nhận diện chữ ký (signature recognition) và mô phỏng (emulation) quá trình thực thi chƣơng trình trong môi trƣờng có kiểm soát, thƣờng là hộp cát (sandbox). Signature recognition là kỹ thuật nhận diện malare thông qua những cấu trúc mẫu bit đặc trƣng của malware này. Kỹ thuật này đƣợc áp dụng rất rộng rãi trong công nghiệp và đạt đƣợc những thành công to lớn. Tuy nhiên, hiện nay signature detection gặp phải khó khăn lớn do những virus thế hệ mới áp dụng những kỹ thuật rắc rối hóa (obfuscation technique) để làm thay đổi chữ ký đặc trƣng [2]. Ý tƣởng chính của emulation là xây dựng một sandbox để khám phá hành vi của malware, bằng cách mô phỏng toàn bộ quá trình thực thi của hệ thống và đặc biệt là hoạt động của APIs [3,15]. Tuy nhiên, đây là một kỹ thuật rất phức tạp, tốn thời gian và đòi hỏi chi phí lớn.Hầu hết các malware hiện nay đều đƣợc đóng gói bằng các chƣơng trình đóng gói (packer) [4]. Packer là một chƣơng trình chuyển đổi mã nhị phân của chƣơng trình thành một chƣơng trình thực thi khác. Chƣơng trình thực thi mới này vẫn gìn giữ những tính năng nguyên bản nhƣng có nội dung hoàn toàn khác nhau khi đƣợc lƣu trữ. Chính vì điều này đã làm cho kỹ thuật quét signature không thể liên kết giữa 2 phiên bản này. Theo thống kê trên [4], 80% malware đƣợc nén bởi rất nhiều loại packers khác nhau. Những packer thông dụng nhất có thể kể đến UPX 1 , PECOMPACT 2 , TELOCK 3 , FSG 4 và YODA"s Crypter 5 . Đa phần các chƣơng trình nhận dạng packer hiện nay nhƣ Peid 6 đều dựa trên chữ ký để kiểm tra. Tuy nhiên, do các hacker có thể tùy chỉnh (modify) chữ ký của packer, phƣơng pháp này sẽ dễ dàng bị đánh bại khi đƣợc áp dụng trong phân tích malware thực.Trong bài báo này, chúng tôi đề xuất một hƣớng tiếp cận mới để nhận diện packer. Chúng tôi sử dụng phƣơng pháp hình thức nhằm nhận dạng packed malware bằng cách kết hợp giữa hai công cụ, BE-PUM để xây dựng CFG và công cụ kiểm tra mô hình NUSMV. Để kiểm chứng tính hiệu quả của hƣớng tiếp cận này, chúng tôi đã tiến hành thí nghiệm trên tập 3250 malware khác nhau. Cấu trúc bài báo đƣợc mô tả nhƣ sau. Phần 2 giới thiệu ngắn gọn những kiến thức nền tảng về Packer, BE-PUM và công cụ NuSMV. Phần 3 trình bày phƣơng pháp đề xuất để nhận dạng packer. Trong phần 4, chúng tôi giới thiệu về thí nghiệm và phần 5 trình bày kết luận và một số hƣớng nghiên cứu trong tƣơng lai.

show abstract

Alternating Control Flow Reconstruction

Cited by 24 publications

References 17 publications

Effectiveness of synthesis in concolic deobfuscation

Effectiveness of synthesis in concolic deobfuscation

A non-convex abstract domain for the value analysis of binaries

Sử Dụng Phương Pháp Hình Thức Để Nhận Dạng Packer

Contact Info

Product

Resources

About