本专栏在早些时候曾经介绍过好几篇关于反汇编和反编译工具有效性评估的研究论文,今天要给大家介绍一篇关于如何将多个反汇编工具结合使用来提高分析准确度的RAID '21研究论文:
首先是一图胜千言:
来自加州大学河滨分校的研究人员发现,对反汇编工具的使用可以更加“花心”一些,如果能够将不同的反汇编工具的结果进行有效的合并,其最终的分析结果会比单独使用任意一款工具的效果要准确。作者设计的名为DisCo的方法混合了Angr、BAP、Ghidra和Radare2四款免费的反汇编工具以及商用的IDA Pro,在针对1760个IoT恶意软件的二进制代码分析中取得了很好的效果。例如针对GCC-O3编译选项生成的MIPS二进制代码,在函数起始地址识别实验中,DisCo比单独使用任何一款工具的准确率至少提升了17.8%(体现在F1 score)
虽然论文的想法看上去并不复杂,但是每家反汇编工具的结果可谓“公说公有理婆说婆有理”,怎么合并这些结果才能实现更为准确的分析二进制代码呢?作者发现,首先,在很多分析内容上,不同的反汇编工具的分析结果存在互补性,例如IDA和Ghidra能够分别发现不同的函数起始地址,把这些内容合并起来就得到了更为准确的结果;其次,当我们使用多个反汇编工具时,不能简单的取并集,而是要在工具上搞一搞民主制度——选择大部分工具认为正确的结果,这样的机制可以保证各家工具的结果不会互相冲突。
这篇论文的设计和实验都比较容易理解,大家可以去读一下原文,也可以关注作者提供的代码,把自己手中的各个反汇编工具进行增强哦!
论文PDF:
https://manu.sridharan.net/files/RAID21Disco.pdf
项目github地址:
https://github.com/gsrishaila/DisCo-Combining-Disassemblers-for-Improved-Performance
原文始发于微信公众号(安全研究GoSSIP):G.O.S.S.I.P 学术文章推荐 2021-08-09
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论