CN114491424A

CN114491424A - 基于模糊测试的二进制代码裁剪方法

Info

Publication number: CN114491424A
Application number: CN202111666898.2A
Authority: CN
Inventors: 孙聪; 丁铎; 马建峰
Original assignee: Xidian University
Current assignee: Xidian University
Priority date: 2021-12-31
Filing date: 2021-12-31
Publication date: 2022-05-13
Anticipated expiration: 2041-12-31

Abstract

本发明提出了一种基于模糊测试的二进制代码裁剪方法，用于解决现有技术中存在的攻击面裁剪度低的技术问题，实现步骤为：(1)获取待裁剪的二进制代码及其测试用例集合；(2)基于模糊测试方法构建样本集合；(3)获取待裁剪的二进制代码的裁剪结果。本发明使用基于模糊测试的方法构建待裁剪二进制代码的样本集，避免了现有技术将混淆技术增加的冗余代码加入裁剪后的二进制代码的问题，减小了裁剪得到的二进制代码总量，从而减小了裁剪后二进制代码的攻击面，与现有技术相比，在保证健壮性的前提下，有效提高了攻击面裁剪度。

Description

基于模糊测试的二进制代码裁剪方法

技术领域

本发明属于信息安全技术领域，涉及一种基于模糊测试的二进制代码裁剪方法，可用于在没有源代码的情况下计算机可执行文件所包含的二进制代码的进行裁剪，减小可执行文件二进制代码的攻击面。

背景技术

计算机程序可以理解为可执行文件，计算机的可执行文件是由二进制代码组成的，二进制代码是指由两个基本字符0，1组成的代码。计算机程序开发过程中，开发者按照需求完成源代码的编写，然后使用编译器和链接器将源代码翻译为二进制代码并生成可执行文件。具体过程为：编译器首先对源代码进行预处理，然后将源代码编译生成汇编代码，再对汇编代码进行优化并生成包含机器代码的对象文件。机器代码是用二进制代码表示的计算机指令的语言。开发者在程序开发过程中通常会调用第三方库函数。而目标文件中的机器代码仅只包含源代码的信息，并不包含第三方库函数的信息，因此目标文件并不能作为计算机可执行文件。最后，链接器将包含第三库信息的机器代码与对象文件所包含的机器代码相结合，生成计算机的可执行文件。

Linux系统上的可执行文件被称为ELF格式文件，Windows系统上的可执行文件被成为PE格式文件。ELF格式文件中的二进制代码由程序头，程序段头表，程序节头表，段区和节头表组成。其中段区由代码段、只读数据段、数据段、块数据段四部分组成。代码段用于存储可以可以被计算机直接执行的二进制代码。只读数据段存储可执行文件二进制代码中使用的复杂常量。数据段存储可执行文件中已经被明确初始化的全局数据。块数据段存储未被明确初始化的全局数据。

随着计算机技术的发展，计算机可执行文件向用户提供的功能越来越丰富，但是用户需要的只是其中的一部分功能。用户不需要的功能所对应的的二进制代码被称为冗余的二进制代码。冗余的二进制代码不仅浪费内存，还会扩大计算机可执行文件二进制代码的攻击表面，存在安全隐患。攻击表面，也称攻击面、攻击层面，它是指可执行文件二进制代码中可以被未授权用户(攻击者)输入或提取数据而受到攻击的点位(攻击矢量)。攻击矢量包括用户输入字段、协议、接口和服务等。攻击面越大，可执行文件被攻击者攻击的风险就越大。解决信息安全问题的方法之一就是减小可执行文件二进制代码的攻击表面。减少攻击表面的基本策略是减少可执行文件二进制代码总量，减少非信任用户可使用的入口点，以及消除用户很少使用的服务。因为关闭不必要的功能，可以避免它们带来的安全风险。减少未授权操作者可调用的代码有助避免安全事故。虽然减少攻击表面有助于防止安全事故，但它不能减少一旦攻击者发现漏洞后可能造成的损害程度。

目前研究者通常采用的裁剪方法为：分析可执行文件的源代码，裁剪掉用户不需要的功能所对应的源代码，然后重新编译链接生成裁剪后的二进制代码，减少二进制代码总量，进而减小攻击面。但是可执行文件的开发者通常不会发布该文件的源代码，因此基于源代码的裁剪方法并不实用，研究直接裁剪二进制代码的方法会更有意义。裁剪计算机可执行文件中二进制代码的主要思想是：获取待裁剪二进制代码的样本集合，然后使用动态二进制插桩方法得到样本集合的执行路径，最后使用二进制重写技术将输入样本集合的执行路径转化为裁剪后的二进制代码。

二进制代码裁剪方法可以从攻击面裁剪度和健壮性两个标准来进行评价。攻击面裁剪度可以用W表示，

其中Z是指待裁剪二进制代码的总量，Z'是指裁剪得到的二进制代码的总量。裁剪得到的二进制代码总量越小，二进制代码的攻击面越小，二进制代码裁剪方法的裁剪度就越高。健壮性是指待裁剪二进制代码在执行不正常输入情况下仍能表现正常的程度。样本集的路径覆盖率越高，裁剪得到的二进制代码的健壮性越高。

论文“RAZOR:A Framework for Post-deployment Software Debloating”(InProceedings of the 28th USENIX security symposium，2019，1733-1751)公开了一种二进制代码裁剪方法，该方法首先获取待裁剪二进制代码的样本集合，然后使用静态启发式算法提高样本集合的路径覆盖率，记录样本集合的执行路径，最后使用二进制重写技术将样本集合的执行路径转化为裁剪后的二进制代码。为了保护知识产权，开发者通常使用混淆技术对二进制代码进行混淆。混淆技术中的不透明谓词技术会向二进制代码加入冗余代码，防止二进制代码被静态分析。该方法使用的静态启发式算法会将混淆技术增加的冗余代码加入二进制代码，使裁剪得到的二进制代码总量增大，使裁剪得到的二进制代码攻击面增大，二进制代码裁剪方法的攻击面裁剪度降低。

发明内容

本发明的目的在于克服上述现有技术存在的缺陷，提出了一种基于模糊测试的二进制代码裁剪方法，用于解决现有技术中存在的可执行文件二进制代码的攻击面较大导致的攻击面裁剪度低的技术问题。

为实现上述目的，本发明采取的技术方案包括如下步骤：

1.一种基于模糊测试的二进制代码裁剪方法，其特征在于，包括如下步骤：

(1)获取待裁剪的二进制代码及其测试用例集合：

收集待裁剪二进制代码P的使用说明书，根据使用说明书确定二进制代码P可以执行的计算机文件格式，获取满足格式的N个计算机文件。将裁剪的二进制代码P的text段初始化为图G＝(O,E)，并将该二进制代码P包含的N个可以执行的计算机文件S＝{s₁,s₂,...,s_n,...,s_N}作为P的测试用例集合，其中，N≥20，s_n表示第n个测试用例，O表示包括J个基本块的集合，O＝{o₁,o₂,...,o_j,...,o_J}，J≥2，o_j表示第j个基本块，E表示包括T个边的集合，E＝{＜o_a,o_b＞|o_a,o_b∈O,0≤a≤J,0≤b≤J，a≠b,o_a执行过后，可能立即执行o_b}，＜o_a,o_b＞表示第a个基本块与第b个基本块形成的边，T≥1；

(2)基于模糊测试方法构建样本集合I：

(2a)对待裁剪的二进制代码P中text段的每个基本块o_j进行动态二进制插桩,并使用插桩后的二进制代码执行每个测试用例，记录测试用例执行过的边，将执行过的边组成测试用例的执行路径，最后将N个测试用例的执行路径合并为执行路径集合L；

(2b)使用具有随机性的变异操作对每个测试用例进行变异，得到变异后的测试用例，共进行Q次,并将Q次变异总共得到的所有M个变异后的测试用例组成集合D＝{d₁,d₂,...,d_m,...,d_M}，其中M＝N×Q，d_m表示第m个变异后的测试用例Q≥30；

(2c)使用插桩后的二进制代码执行每个变异后的测试用例，记录执行过的边，将所有执行过的边作为的执行路径，将M个变异后的测试用例的执行路径与集合S的执行路径集合L做对比，将触发了新的执行路径的K个变异后的测试用例组成样本集合I＝{I₁,I₂,...,I_k,...,I_K}，其中，K＜M，I_k表示第k个样本；

(3)获取待裁剪的二进制代码的裁剪结果：

将K个样本的执行路径合并，将合并结果作为样本集合I的执行路径集合，使用RAZOR工具将集合I的执行路径集合转化为机器代码，并用机器代码替换待裁剪二进制代码P的text段，得到裁剪后的二进制代码P'。

本发明与现有技术相比，具有如下优点：

本发明使用基于模糊测试的方法构建待裁剪二进制代码的样本集，避免了现有技术在使用静态启发式算法提高样本集路径覆盖率时，会将混淆技术增加的冗余代码加入裁剪后的二进制代码的问题，减小了裁剪得到的二进制代码总量，从而减小了裁剪后二进制代码的攻击面，与现有技术相比，在保证健壮性的前提下，有效提高了攻击面裁剪度。

附图说明

图1是本发明的实现流程图。

具体实施方式

下面结合附图和具体实施例，对本发明作进一步详细描述：

参照附图1，本发明包括如下步骤：

(1)获取待裁剪的二进制代码及其测试用例：

本发明针对LINUX系统上的64位ELF格式可执行文件的二进制代码进行裁剪，收集待裁剪二进制代码P的使用说明书，根据使用说明书确定二进制代码P可以执行的计算机文件格式，获取满足格式的N个计算机二进制文件。将裁剪的二进制代码P的text段初始化为图G＝(O,E)，并将该二进制代码P包含的N个可以执行的计算机文件S＝{s₁,s₂,...,s_n,...,s_N}作为P的测试用例集合，其中，N≥20，s_n表示第n个测试用例，O表示包括J个基本块的集合，O＝{o₁,o₂,...,o_j,...,o_J}，J≥2，o_j表示第j个基本块，E表示包括T个边的集合，E＝{＜o_a,o_b＞|o_a,o_b∈O,0≤a≤J,0≤b≤J，a≠b,o_a执行过后，可能立即执行o_b}，＜o_a,o_b＞表示第a个基本块与第b个基本块形成的边，T≥1；

二进制代码的使用说明书是指该二进制代码所对应的计算机可执行文件的使用说明书，也称软件使用说明书。使用说明书中包含该可执行文件的数据输入格式，如gif，pdf，doc等，获取满足格式的N个计算机文件。

(2)基于模糊测试方法构建样本集合I：

(2a)使用qemu二进制插桩工具将待裁剪的二进制代码P翻译为TCG中间代码，然后在TCG中间代码中每个基本块头部插入探针信息，完成插桩，然后使用插桩后的二进制代码执行每个测试用例，当测试用例在执行过程中，执行了新的基本块时，就将连接新的基本块与上一个执行过的基本块的边记录下来，将执行过的边组成测试用例的执行路径，最后将N个测试用例的执行路径合并，将合并结果作为集合S的执行路径；

该步骤使用基于遗传算法的变异策略对测试用例进行变异。将测试用例集合初始化为种群，将测试用例集合中的测试用例作为种群中的个体，将测试用例视为字节序列，将字节序列作为染色体。跟踪测试用例的路径覆盖率信息,根据该路径覆盖率计算测试用例的适应度。从测试用例集合中选取某一测试用例执行突变操作，然后观察执行过程中是否触发了新的路径覆盖率，将触发了新的路径覆盖率的测试用例继续进行变异，同时将触发新的路径覆盖率的测试用例作为变异后的测试用例。

突变是指：将测试用例视为字节序列，首先随机选取字节序列中某一位置，对该位置的字节值的位翻转，然后随机选取字节序列中某一位置，将该位置的字节值的加上或减去一个随机数，然后用预设的特殊值替换字节序列中的随机位置的字节值，最后向测试用例的字节序列的随机位置中插入一个随机数。

(3)获取待裁剪的二进制代码的裁剪结果：

(3a)将K个样本的执行路径合并，将合并结果作为样本集合I的执行路径。使用RAZOR工具的轨迹收集模块，记录样本集合I的执行路径的控制流信息，控制流信息包括基本块的起始地址与结束地址，条件转移指令的地址与跳转的分支，间接跳转和间接调用的地址和运行时的目标，然后使用RAZOR工具的程序生成模块，根据样本集合I的执行路径的控制流信息，将集合I的执行路径转化为机器代码；

(3b)用集合I的机器代码替换待裁剪二进制代码P的text段，得到裁剪后的二进制代码P'。

Claims

(1)获取待裁剪的二进制代码及其测试用例集合：

将裁剪的二进制代码P的text段初始化为图G＝(O,E)，并将该二进制代码P包含的N个可以执行的计算机文件S＝{s₁,s₂,...,s_n,...,s_N}作为P的测试用例集合，其中，N≥20，s_n表示第n个测试用例，O表示包括J个基本块的集合，O＝{o₁,o₂,...,o_j,...,o_J}，J≥2，o_j表示第j个基本块，E表示包括T个边的集合，E＝{＜o_a,o_b＞|o_a,o_b∈O,0≤a≤J,0≤b≤J，a≠b,o_a执行过后，可能立即执行o_b}，＜o_a,o_b＞表示第a个基本块与第b个基本块形成的边，T≥1；

(2)基于模糊测试方法构建样本集合I：

(3)获取待裁剪的二进制代码的裁剪结果：

2.根据权利要求1所述的一种基于模糊测试的二进制代码裁剪方法，其特征在于，步骤(1)中所述的二进制代码P包含的N个可以执行的计算机文件S＝{s₁,s₂,...,s_n,...,s_N},获取方法为：收集待裁剪二进制代码P的使用说明书，根据使用说明书确定二进制代码P可以执行的计算机文件格式，获取满足格式的N个计算机文件。