Context-sensitive analysis of x86 obfuscated executables

Boccardo, Davidson Rodrigo [UNESP]

09 October 2009

Made available in DSpace on 2014-06-11T19:30:32Z (GMT). No. of bitstreams: 0 Previous issue date: 2009-10-09Bitstream added on 2014-06-13T18:40:52Z : No. of bitstreams: 1 boccardo_dr_dr_ilha.pdf: 1178776 bytes, checksum: cdd885f0beff962757e3b9de59ce0832 (MD5) / Coordenação de Aperfeiçoamento de Pessoal de Nível Superior (CAPES) / Ofusca c~ao de c odigo tem por nalidade di cultar a detec c~ao de propriedades intr nsecas de um algoritmo atrav es de altera c~oes em sua sintaxe, entretanto preservando sua sem antica. Desenvolvedores de software usam ofusca c~ao de c odigo para defender seus programas contra ataques de propriedade intelectual e para aumentar a seguran ca do c odigo. Por outro lado, programadores maliciosos geralmente ofuscam seus c odigos para esconder comportamento malicioso e para evitar detec c~ao pelos anti-v rus. Nesta tese, e introduzido um m etodo para realizar an alise com sensitividade ao contexto em bin arios com ofuscamento de chamada e retorno de procedimento. Para obter sem antica equivalente, estes bin arios utilizam opera c~oes diretamente na pilha ao inv es de instru c~oes convencionais de chamada e retorno de procedimento. No estado da arte atual, a de ni c~ao de sensitividade ao contexto est a associada com opera c~oes de chamada e retorno de procedimento, assim, an alises interprocedurais cl assicas n~ao s~ao con aveis para analisar bin arios cujas opera c~oes n~ao podem ser determinadas. Uma nova de ni c~ao de sensitividade ao contexto e introduzida, baseada no estado da pilha em qualquer instru c~ao. Enquanto mudan cas em contextos a chamada de procedimento s~ao intrinsicamente relacionadas com transfer encia de controle, assim, podendo ser obtidas em termos de caminhos em um grafo de controle de uxo interprocedural, o mesmo n~ao e aplic avel para mudan cas em contextos a pilha. Um framework baseado em interpreta c~ao abstrata e desenvolvido para avaliar contexto baseado no estado da pilha e para derivar m etodos baseado em contextos a chamada de procedimento para uso com contextos baseado no estado da pilha. O metodo proposto n~ao requer o uso expl cito de instru c~oes de chamada e retorno de procedimento, por em depende do... / A code obfuscation intends to confuse a program in order to make it more di cult to understand while preserving its functionality. Programs may be obfuscated to protect intellectual property and to increase security of code. Programs may also be obfuscated to hide malicious behavior and to evade detection by anti-virus scanners. We introduce a method for context-sensitive analysis of binaries that may have obfuscated procedure call and return operations. These binaries may use direct stack operators instead of the native call and ret instructions to achieve equivalent behavior. Since de nition of context-sensitivity and algorithms for context-sensitive analysis has thus far been based on the speci c semantics associated to procedure call and return operations, classic interprocedural analyses cannot be used reliably for analyzing programs in which these operations cannot be discerned. A new notion of context-sensitivity is introduced that is based on the state of the stack at any instruction. While changes in calling-context are associated with transfer of control, and hence can be reasoned in terms of paths in an interprocedural control ow graph (ICFG), the same is not true for changes in stackcontext. An abstract interpretation based framework is developed to reason about stackcontext and to derive analogues of call-strings based methods for the context-sensitive analysis using stack-context. This analysis requires the knowledge of how the stack, rather the stack pointer, is represented and on the knowledge of operators that manipulate the stack pointer. The method presented is used to create a context-sensitive version of Venable et al.'s algorithm for detecting obfuscated calls. Experimental results show that the contextsensitive version of the algorithm generates more precise results and is also computationally more e cient than its context-insensitive counterpart.

Análise estática

Interpretação abstrata

Ofuscação de código

Static analysis

Abstract interpretation

Obfuscation of code

Uma metodologia para análise de fluxo de programas Java para tempo real

Guedes, Paulo Abadie

January 2004

Made available in DSpace on 2014-06-12T15:59:12Z (GMT). No. of bitstreams: 2 arquivo4977_1.pdf: 839007 bytes, checksum: 6f8778aed895d0751995d11c884589f1 (MD5) license.txt: 1748 bytes, checksum: 8a4605be74aa9ea9d79846c1fba20a33 (MD5) Previous issue date: 2004 / Esta dissertação apresenta um método de análise de fluxo para a estimativa do WCET (worst-case execution time), o tempo de execução no pior caso, criado através da adaptação de uma abordagem desenvolvida recentemente com o mesmo fim, sobre programas de tempo real orientados a objeto. O método é uma extensão projetada para trabalhar sobre bytecodes Java, assumindo que não há nenhuma forma de anotação de código presente e também que o código-fonte original não está disponível. Devido a estas suposições, foi necessário determinar a estrutura original do programa, através de algoritmos existentes para análise de fluxo de controle. Outras informações sobre o programa foram necessárias, especialmente relativas às expressões condicionais, que foram fundamentais para a determinação dos caminhos possíveis no grafo. Além do método criado, foi desenvolvida uma ferramenta para análise de fluxo que implementa, de forma parcial, uma das interpretações abstratas possíveis para este tipo de finalidade. A interpretação implementada forneceu os resultados que confirmam os conceitos subjacentes a este trabalho. A ferramenta criada foi testada em alguns programas obtidos na literatura. Esses programas foram selecionados com o objetivo de exercitar a análise do fluxo de controle, em situações com características relevantes e que ocorrem freqüentemente, incluindo vários tipos de laços e estruturas com condições complexas. Programas com expressivo número de caminhos e de estados também foram utilizados nos testes. O método desenvolvido constitui-se num passo importante para a estimativa do WCET em Java

WCET

Tempo de execução no pior caso

Análise de fluxo

Interpretação abstrata

Tempo real hard

Java para tempo real

RTJ

Máquina virtual java