研究论文

工作、正确、快速：构建平台-中性全系统动态二元分析平台

作者:

安得烈亨德森,

阿拉文普拉卡什,

乐光雁鸣声,

Xunchao公司胡,

润东周、和

恒阴作者信息和声明

ISSTA 2014：2014年软件测试与分析国际研讨会论文集

2014年7月

页248-258

https://doi.org/10.1145/2610384.2610407

出版:2014年7月21日出版历史

获取访问权限

摘要

动态二进制分析是程序分析中一种流行且不可或缺的技术。虽然已经提出了几种动态二进制分析工具和框架，但所有这些工具和框架都受到以下一种或多种因素的影响：性能下降，分析代码和被分析程序之间的语义鸿沟，体系结构/操作系统专用性，仅限于用户模式，缺乏API等。我们提出了DECAF，一种基于虚拟机的多目标、，建立在QEMU之上的全系统动态二进制分析框架。DECAF提供实时虚拟机内省功能，结合位粒度的新型TCG指令级污染，由基于插件的简单易用的事件驱动编程接口支持。DECAF对TCG指令进行精细控制，以实现实时优化。我们提供了3个平台中立插件——指令跟踪器、键盘记录器检测器和API跟踪器，以证明DECAF在编写跨平台和系统范围分析工具方面的易用性和有效性。DECAF的实现由9550行C++代码和10270行C代码组成，我们使用CPU2006 SPEC基准测试来评估DECAF，显示系统范围污染的平均开销为605%，VMI的平均开销是12%。

工具书类

[1]

F.贝拉德。QEMU，一个快速、可移植的动态翻译器。在USENIX 2005年度技术会议上，FREENIX Track，2005。

数字图书馆

[2]

E.Bosman、A.Slowinska和H.Bos。Minemu：世界上最快的Taint Tracker。入侵检测的最新进展。施普林格，2011年。

数字图书馆

[3]

V.Chipunov、V.Kuznetsov和G.Candea。s2e：一个用于软件系统的体内多路径分析的平台。《第十六届编程语言和操作系统体系结构支持国际会议论文集》，ASPLOS XVI，2011年。

数字图书馆

[4]

J.Chow、B.Pfaff、T.Garfinkel、K.Christopher和M.Rosenblum。通过整个系统仿真了解数据生命周期。2004年第13届USENIX安全研讨会（Security'03）会议记录。

数字图书馆

[5]

J.Clause、W.Li和A.Orso。《Dytan：一个通用的动态污染分析框架》，载于2007年软件测试与分析国际研讨会（ISSTA'07）论文集，2007年。

数字图书馆

[6]

J.R.Crandall和F.T.Chong。Minos：与内存模型正交的控制数据攻击预防。2004年第37届微体系结构国际研讨会（MICRO'04）论文集。

数字图书馆

[7]

DECAF二进制分析平台-“消除动态二进制分析的抖动”。https://code.google.com/p/decaf-platform/。

[8]

A.Dinaburg、P.Royal、M.Sharif和W.Lee。以太：通过硬件虚拟化扩展进行恶意软件分析。2008年第15届ACM计算机和通信安全会议记录。

数字图书馆

[9]

B.Dolan-Gavitt、T.Leek、M.Zhivich、J.Gi ffin和W.Lee。美德：缩小虚拟机自省中的语义鸿沟。2011年IEEE安全与隐私研讨会论文集（奥克兰）。

数字图书馆

[10]

Y.Fu和Z.Lin。穿越虚拟机的空间旅行：通过在线内核数据重定向自动弥合虚拟机内省中的语义差距。2012年IEEE安全与隐私研讨会论文集。

数字图书馆

[11]

S.Golovanov。分析tdss rootkit技术。技术报告，Securelist，2010年。

[12]

K.Jee、G.Portokalidis、V.P.Kemerlis、S.Ghosh、D.I.August和A.D.Keromytis。一种有效加速商品硬件上基于软件的动态数据流跟踪的通用方法。2012年网络与分布式系统安全研讨会（NDSS）论文集。

[13]

M.G.Kang、P.Poosankam和H.Yin。Renovo：打包可执行文件的隐藏代码提取器。2007年，第五届ACM复发性恶意代码（WORM）研讨会论文集。

数字图书馆

[14]

V.P.Kemerlis、G.Portokalidis、K.Jee和A.D.Keromytis。libdft：商品系统的实用动态数据流跟踪。第八届ACM SIGPLAN/SIGOPS虚拟执行环境会议论文集-VEE’12，2012。

数字图书馆

[15]

C.-K.Luk、R.Cohn、R.Muth、H.Patil、A.Klauser、G.Lowney、S.Wallace、V.J.Reddi和K.Hazelwood。引脚：使用动态工具构建定制的程序分析工具。2005年ACM SIGPLAN编程语言设计与实现会议记录。

数字图书馆

[16]

N.Nethercote和J.Seward。Valgrind：重量级动态二进制指令插入框架。2007年ACM SIGPLAN编程语言设计与实现（PLDI）会议论文集。

数字图书馆

[17]

J.Newsome和D.Song。用于自动检测、分析商品软件漏洞并生成特征码的动态污点分析。2005年第十二届网络和分布式系统安全研讨会（NDSS）会议记录。

[18]

G.Portokalidis、A.Slowinska和H.Bos。Argos：指纹零日攻击模拟器。在EuroSys 2006、2006中。

数字图书馆

[19]

F.Qin、C.Wang、Z.Li、H.s.Kim、Y.Zhou和Y.Wu。LIFT：用于检测安全攻击的低端实用信息流跟踪系统。2006年第39届IEEE/ACM国际微体系结构研讨会（MICRO'06）。IEEE，2006年。

数字图书馆

[20]

D.Song、D.Brumley、H.Yin、J.Caballero、I.Jager、M.G.Kang、Z.Liang、J.Newsome、P.Poosankam和P.Saxena。BitBlaze：一种通过二进制分析实现计算机安全的新方法。第四届信息系统安全国际会议记录，印度海得拉巴，2008年。

数字图书馆

[21]

TEMU：BitBlaze动态分析组件。http://bitblaze.cs.berkeley.edu/temu.html。

[22]

X.J.X.Wang和D.Xu。通过基于vmm的“开箱即用”语义视图重建进行秘密恶意软件检测。2007年ACM计算机和通信安全会议论文集。

数字图书馆

[23]

L.K.Yan、A.Henderson、X.Hu、H.Yin和S.McCamant。动态污染分析的可靠性和准确性。《技术报告SYR-EECS-2014-04》，雪城大学，2014年。

[24]

严乐凯和尹海凯。DroidScope：无缝重构操作系统和Dalvik语义视图，用于动态Android恶意软件分析。2012年第21届USENIX安全研讨会会议记录。

数字图书馆

[25]

H.Yin、Z.Liang和D.Song。HookFinder：识别和理解恶意软件挂钩行为。在2008年第15届网络和分布式系统安全研讨会上。

[26]

H.Yin、D.Song、M.Egele、C.Kruegel和E.Kirda。全景：捕获系统范围的信息流，用于恶意软件检测和分析。2007年ACM计算机和通信安全会议论文集。

数字图书馆

引用人

Irofti P公司(2024)Pinky：一种面向恶意软件的现代动态信息检索工具创新的信息技术和通信安全解决方案10.1007/978-3-031-52947-4_6(65-78)在线发布日期：2024年1月21日
https://doi.org/10.1007/978-3-031-52947-4_6
周X王平（Wang P）周LXun P公司卢·K(2023)嵌入式设备安全性分析综述传感器10.3390/2322922123:22(9221)在线发布日期：2023年11月16日
https://doi.org/10.3390/s23229221
川崎Y阿卡巴内S岩村M冈本T(2023)Xunpack:Linux IoT恶意软件的跨体系结构解包第26届攻击、入侵和防御研究国际研讨会论文集10.1145/3607199.3607214(471-484)在线发布日期：2023年10月16日
https://dl.acm.org/doi/10.1145/3607199.3607214
显示更多引用者

索引术语

工作、正确、快速：构建平台-中性全系统动态二元分析平台
1. 软件及其工程
  1. 软件创建和管理
    1. 软件验证和确认
      1. 软件缺陷分析
        软件测试和调试

建议

基于虚拟机内省的云监控平台
CompSysTech’18：第19届计算机系统与技术国际会议记录

虚拟机内省（VMI）是一种新兴的技术家族，用于从虚拟机中提取数据，而无需在目标机器本身中使用主动监测探针。在基于VMI的系统中，数据是在。。。
阅读更多信息
云环境下虚拟机自省工具的性能分析
ICIA-16：信息学和分析国际会议记录

虚拟机（VM）安全性是云环境中最大的问题之一。这个问题可以通过虚拟机内省（VMI）工具来解决。VMI工具监视云环境中运行的虚拟机的状态。。。
阅读更多信息
KVM中的高效VM内省及与Xen的性能比较
PRDC’14：2014 IEEE第20届环太平洋可靠计算国际研讨会论文集

入侵检测系统（IDS）卸载对于安全执行IDS非常有用。它在虚拟机（VM）中运行目标系统，并使IDS能够使用VM自省从外部监视VM。尽管VM自省研究得很好。。。
阅读更多信息

评论

信息和贡献者

问询处

发布于

封面图片ACM会议

ISSTA 2014：2014年软件测试与分析国际研讨会论文集

2014年7月

460页

国际标准图书编号：9781450326452

内政部：10.1145/2610384

总主席：
科琳娜·S·P·S·雷纳
美国国家航空航天局艾姆斯
,
项目主席：
达科·马里诺夫
美国伊利诺伊大学香槟分校

版权所有©2014 ACM。

如果复制品不是为了盈利或商业利益而制作或分发的，并且复制品的第一页载有本通知和完整引文，则允许免费制作本作品的全部或部分数字或硬拷贝以供个人或课堂使用。必须尊重ACM以外的其他人对本作品组成部分的版权。允许用信用证进行摘要。要以其他方式复制或重新发布，在服务器上发布或重新发布到列表，需要事先获得特定许可和/或付费。从请求权限[电子邮件保护]

发起人

SIGSOFT:ACM软件工程特别兴趣小组

合作中

SIGPLAN：ACM编程语言特别兴趣小组

出版商

计算机协会

美国纽约州纽约市

出版历史

出版：2014年7月21日

权限

请求对此文章的权限。

检查更新

作者标记

限定符

研究文章

会议

ISSTA’14

赞助商：

SIGSOFT公司

ISSTA’14：软件测试与分析国际研讨会

2014年7月21日至25日

加利福尼亚州圣何塞市，美国

接受率

总体接受率213份提交文件中的58份，27%

即将召开的会议

ISSTA’24

赞助商：
sigsoft软件

第33届ACM SIGSOFT国际软件测试与分析研讨会

2024年9月16日至20日

维也纳，奥地利

贡献者

其他指标

查看文章指标

文献计量学和引文

文献计量学

文章指标

69
引文总数
查看引文
971
下载总量

下载次数（过去12个月）42
下载次数（最近6周）三

其他指标

查看作者指标

引文

引用人

Irofti P公司(2024)Pinky：一种面向恶意软件的现代动态信息检索工具创新的信息技术和通信安全解决方案10.1007/978-3-031-52947-4_6(65-78)在线发布日期：2024年1月21日
https://doi.org/10.1007/978-3-031-52947-4_6
周X王平（Wang P）周LXun P公司卢·K(2023)嵌入式设备安全性分析综述传感器10.3390/2322922123:22(9221)在线发布日期：2023年11月16日
https://doi.org/10.3390/s23229221
川崎Y阿卡巴内S岩村M冈本T(2023)Xunpack:Linux IoT恶意软件的跨体系结构解包第26届攻击、入侵和防御研究国际研讨会论文集10.1145/3607199.3607214(471-484)在线发布日期：2023年10月16日
https://dl.acm.org/doi/10.1145/3607199.3607214
程Y程S阿尔姆格伦M费尔南德斯E(2023)Firmulti Fuzzer：通过全系统仿真和VMI发现物联网设备中的多进程漏洞CPS和物联网安全与隐私第五次研讨会会议记录10.1145/3605758.3623493(1-9)在线发布日期：2023年11月26日
https://dl.acm.org/doi/10.1145/3605758.3623493
刘X文J陈Z李D陈杰刘毅王H金X(2023)FaaSLight：无服务器计算中功能即服务的通用应用级冷启动延迟优化软件工程及方法论学报10.1145/358500732:5(1-29)在线发布日期：2023年2月22日
https://dl.acm.org/doi/10.1145/3585007
赵L蒋K朱毅王莉（Wang L）明J(2023)获取用于内存损坏诊断的无效输入操作IEEE可靠和安全计算汇刊10.1109/TDSC.2022.314502220:2(917-930)在线发布日期：2023年3月1日
https://doi.org/10.109/TDSC.2022.3145022
阿南塔拉曼P右Lathrop夏皮罗·R洛卡斯特M(2023)PolyDoc：调查PolySwarm网络的PDF文件2023 IEEE安全与隐私研讨会（SPW）10.1109/SPW59333.2023.00017(117-134)在线发布日期：2023年5月
https://doi.org/10.109/SPW59333.2023.00017
Dovgalyuk P公司Klimushenkova M公司Fursova N号瓦西里耶夫一世斯捷潘诺夫五世(2023)Natch:用混合内省检测多服务系统的攻击面2023 IEEE第23届国际软件质量、可靠性和安全会议（QRS-C）10.1109/QRS-C60940.2023.00023(176-185)在线发布日期：2023年10月22日
https://doi.org/10.1109/QRS-C60940.2023.00023
杨M周X刘德周L唐Y(2023)增强物联网安全性：固件全系统仿真动态Taint分析框架2023第三届国际电子信息工程与计算机大会（EIECT）10.1109/EIECT60552.2023.10442540(381-388)在线发布日期：2023年11月17日
https://doi.org/10.1109/EIECT60552.2023.10442540
张Y钟N你W邹毅健K徐杰太阳J刘乙霍伟(2022)NDFuzz：一个用于虚拟化网络设备的非侵入式覆盖引导模糊框架网络安全10.1186/s42400-022-00120-15:1在线发布日期：2022年11月1日
https://doi.org/10.1186/s42400-022-00120-1
显示更多引用者

视图选项

获取访问权限

登录选项

检查您是否可以通过登录凭据或您的机构访问本文。

完全访问权限

获取此出版物

查看选项

PDF格式

以PDF文件的形式查看或下载。

电子阅读器

使用联机查看电子阅读器.

电子阅读器

媒体

数字

其他

桌子