今天我们为大家推送一篇RAID 2021的研究论文,关注的是安全研究中非常经典的主题——Windows平台可执行文件格式Portable Executable(PE)格式的安全性问题
来自Eurecom的研究人员(以及转会到Cisco Talos的Yanick)在本论文中讨论了如下问题:不论是操作系统还是代码分析工具以及杀毒软件等程序都会去解析PE文件格式,但是不同的程序中使用的PE parser的实现是否正确可靠(事实上过去很多安全攻击案例都是通过构造malforamt PE文件来攻击高权限的杀软)?作者研究表明,各类针对PE的分析工具都容易被攻击者精心构造的PE格式所欺骗,实际上,在针对PE格式的解析这一任务上,不存在一种通用的方法能够完美处理所有的可能性!作者指出,针对PE文件的解析应该充分考虑的实现的多样性,根据不同的格式进行不同的解析处理,这样才能保证分析工具正确、稳定地工作!
作者研究表明,不同版本的Windows操作系统(如Windows XP、Windows 7和Windows 10)在处理PE文件时候的parsing方式都存在差异,可谓“条条大路通罗马”,而每一种方式都有其适用的PE文件格式,也就是说PE文件格式并不是一个固化的格式,对安全分析工具(如杀毒软件来说),应该首先研究和确定待分析的PE文件需要用哪一种解析方式去处理,然后使用特定的parser进行分析,才能保证安全可靠的解析。
作者为了充分研究PE格式中存在的各种corner cases,设计了一套约束建模的语言,并用这套比较形式化的东西来生成了各种各样奇奇怪怪的PE文件,这套模型的代码可在如下地址访问:
https://github.com/eurecom-s3/loaders_modeling
基于生成的不同的数据,作者进行了一个差分分析,发现了如下一些有趣的事实:
作者还研究了开源杀毒引擎ClamAV中存在的一些问题
论文地址:
https://www.eurecom.fr/en/publication/6603/copyright
原文始发于微信公众号(安全研究GoSSIP):G.O.S.S.I.P 学术论文推荐 2021-08-11
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论