RU2818270C1 - Способ экспресс-идентификации аппаратной архитектуры исполняющего устройства на основе анализа бинарных данных - Google Patents
Способ экспресс-идентификации аппаратной архитектуры исполняющего устройства на основе анализа бинарных данных Download PDFInfo
- Publication number
- RU2818270C1 RU2818270C1 RU2022118234A RU2022118234A RU2818270C1 RU 2818270 C1 RU2818270 C1 RU 2818270C1 RU 2022118234 A RU2022118234 A RU 2022118234A RU 2022118234 A RU2022118234 A RU 2022118234A RU 2818270 C1 RU2818270 C1 RU 2818270C1
- Authority
- RU
- Russia
- Prior art keywords
- hardware architecture
- conditional
- entropy
- hardware
- edges
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 41
- 238000007405 data analysis Methods 0.000 title description 2
- 238000012546 transfer Methods 0.000 claims abstract description 22
- 238000004458 analytical method Methods 0.000 claims abstract description 11
- 230000007704 transition Effects 0.000 claims description 13
- 238000011156 evaluation Methods 0.000 claims description 2
- 239000000126 substance Substances 0.000 abstract 1
- 238000013528 artificial neural network Methods 0.000 description 5
- 238000012549 training Methods 0.000 description 4
- 230000007717 exclusion Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000004364 calculation method Methods 0.000 description 2
- 230000006835 compression Effects 0.000 description 2
- 238000007906 compression Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 230000006978 adaptation Effects 0.000 description 1
- 230000015572 biosynthetic process Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000002474 experimental method Methods 0.000 description 1
- 238000005206 flow analysis Methods 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 238000013178 mathematical model Methods 0.000 description 1
- 238000004886 process control Methods 0.000 description 1
- 230000000306 recurrent effect Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
Images
Abstract
Изобретение относится к способу экспресс-идентификации аппаратной архитектуры исполняющего устройства на основе анализа бинарных данных. Технический результат заключается в повышении эффективности идентификации аппаратной архитектуры исполняющего устройства. В способе получают немодифицированный образ памяти исследуемого устройства, включающий машинный код управляющей программы, исключают из образа памяти исследуемого устройства области высокоэнтропийных и низкоэнтропийных данных, в полученной области памяти осуществляют поиск команд условных и безусловных переходов по относительному смещению в соответствии с предположительной аппаратной архитектурой посредством сплошного декодирования бинарных данных, при этом вышеупомянутый поиск осуществляется на основании декодированных машинных кодов условных и безусловных переходов предположительной аппаратной архитектуры, полученных из базы данных аппаратных архитектур, формируют и анализируют графы передачи управления на основании вышеуказанных найденных команд, после чего принимают решение о правильности идентификации аппаратной архитектуры на основании полученных характеристик графов передачи управления. 6 з.п. ф-лы, 6 ил., 1 табл.
Description
Настоящее изобретение относится к области обеспечения защиты от несанкционированного доступа к информации, а именно к способам идентификации аппаратной архитектуры исполняющего устройства по бинарным данным из образа памяти аппаратно-программных средств с целью проведения последующего поиска уязвимостей, программных закладок и недекларированных возможностей в управляющих программах.
Уровень техники
Известны способы идентификации аппаратной архитектуры исполняющего устройства на основе применения нейронных сетей, вычисления энтропии данных, использования нормированного расстояния по сжатым данным, полноценного дизассемблирования.
Способы, построенные на базе нейронных сетей, требуют наличие обучающей выборки, представляющей собой множество существенных по объему экземпляров машинного кода для определенной архитектуры [1]. Процесс получения такой выборки может представлять из себя определенную проблему для модифицированных или малораспространенных аппаратных архитектур. Это объясняется отсутствием соответствующих экземпляров машинного кода с открытой лицензией и высокой стоимостью проприетарных компиляторов. В случае нейронных сетей увеличение количества идентифицируемых аппаратных архитектур приводит к увеличению вероятностей ошибок первого и второго рода. Также негативное влияние на качество идентификации оказывает наличие различных модификаций аппаратных архитектур (например, добавление новых команд).
Способы, основанные на вычислении энтропии данных и на метрике сжатия [2-4], так же как и способы на базе нейронных сетей, снижают качество идентификации при увеличении количества идентифицируемых аппаратных архитектур. Еще одним общим свойством этих способов является необходимость наличия эталонных экземпляров программ для соответствующей аппаратной архитектуры - аналога обучающей выборки. Следует отметить, что для энтропийных способов требования к ее объему существенно меньше. Однако, в случае нормированного расстояния по сжатым данным размер эталонных экземпляров программ должен быть близок к анализируемому образу памяти. Неотъемлемым недостатком данного класса способов является довольно существенный уровень вероятностей ошибок первого и второго рода [3], что связано с полным игнорированием особенностей конкретной аппаратной архитектуры вследствие простоты используемых математических моделей.
В патенте [5] предлагается аппаратура, система и метод для динамического анализа графов потока управления, при этом система предполагает использование полного дизассемблирования, так как исходные листинги недоступны. В настоящем изобретении также используется анализ графов потока управления, однако в отличии от [5], в заявляемом способе предлагается ограничится лишь декодированием двух типов инструкций (условного и безусловного переходов), что позволяет значительно снизить трудоемкость его адаптации для поддержки новой аппаратной архитектуры по сравнению с данным аналогом.
В патенте [6] предлагается способ обнаружения шаблонов кода с помощью эмуляции исполнения машинного кода. Этот метод также может использоваться для идентификации аппаратной архитектуры через перебор всех доступных эмуляторов. В этом отношении, он аналогичен настоящему изобретению, где также предполагается перебор вариантов принадлежности к известным архитектурам. Однако реализация эмулятора для новой аппаратной архитектуре значительно сложнее и требует гораздо больше затрат даже по сравнению реализацией полноценного дизассемблера. По данному критерию способ [6] существенно проигрывает заявляемому способу, ограничивающимся лишь декодированием двух типов инструкций (условного и безусловного переходов).
В патенте [7] предлагается метод дизассемблирования образа памяти аппаратно-программных средств автоматизированных систем управления технологическими процессами (АСУ ТП) с целью проведения последующего поиска уязвимостей в управляющих программах. Идентификация аппаратной архитектуры исполняющего устройства является предпоследним этапом этого метода. Настоящее изобретение предназначено для проведения идентификация аппаратной архитектуры и может быть непосредственно использовано для выполнения задач указанного этапа. В отличии от заявляемого способа, для реализации данного этапа в методе [7] использован способ на основе нормированного расстояния по сжатым данным, описанный в [2]. Как отмечалось выше, по сравнению с проведением дизассемблирования такой способ имеет множество недостатков: необходимость наличия эталонных экземпляров программ для соответствующей аппаратной архитектуры, существенный уровень вероятностей ошибок первого и второго рода, снижение качества идентификации при увеличении количества поддерживаемых аппаратных архитектур [3].
Наиболее близким к заявленному изобретению является способ идентификации машинного кода и данных в исполняемом программном модуле на основе дизассемблирования с рекурсивным обходом (англ. recursive traversal disassembly), описанный в патенте [8]. Однако, в этом случае требуется наличие полноценного декодера системы команд (дизассемблера) идентифицируемых аппаратных архитектур, реализация которого требует как значительных материальных затрат, так и доступа к соответствующей технической документации, что не всегда возможно. Кроме того, модификации системы команд аппаратных архитектур (в том числе наличие дополнительных команд) приводит к существенным проблемам при проведении идентификации и увеличению вероятности ошибок второго рода. При этом положительный результат дизассемблирования не всегда достигается в автоматическом режиме даже при известной аппаратной архитектуре исполнительного устройства, что связано с необходимостью правильного задания адресов сегментов, знанием особенностей формирования таблиц переходов, особенностями вычисления адресов, форматом образа памяти и т.д.
Количество команд условных и безусловных переходов по относительному смещению ограничено, что позволяет сильно упростить реализацию дешифратора команд. Использование относительного смещения, вместо абсолютного, исключает зависимость от загрузочного адреса. Для предлагаемого метода требуется лишь описание команд условных и безусловных переходов по относительному смещению, которые являются консервативными элементами системы команд аппаратных архитектур, остающиеся неизменными при модификации последних.
Задачей, на решение которой направлено заявляемое изобретение, является устранение недостатков аналогов и прототипа [1-8], заключающихся в уменьшении трудоемкости и снятии ограничений, связанных с необходимостью наличия обучающей выборки или декодера полной системы команд, при решении практических задач, требующих проводить идентификацию аппаратной архитектуры.
Техническим результатом изобретения является снижение трудоемкости по расширению идентифицированных аппаратных архитектур с сохранением высокой избирательности и специфичности.
Указанный технический результат достигается за счет того, что в заявленном способе экспресс-идентификации аппаратной архитектуры исполняющего устройства на основе анализа бинарных данных характеризующимся тем, что получают немодифицированный образ памяти исследуемого устройства, включающий машинный код управляющей программы, исключают из образа памяти исследуемого устройства области высокоэнтропийных и низкоэнтропийных данных, осуществляют поиск команд условных и безусловных переходов по относительному смещению в соответствии с предположительной аппаратной архитектурой, формируют и анализируют графы передачи управления, после чего принимают решение о правильности идентификации аппаратной архитектуры.
В частности, исключение из образа памяти исследуемого устройства области высокоэнтропийных данных определяют по значению параметра энтропии по крайней мере в 0,9.
В частности, исключение из образа памяти исследуемого устройства области низкоэнтропийных данных определяют по значению параметра энтропии менее 0,3 при размере окна оценки не более 5000 байт.
В частности, поиск команд условных и безусловных переходов по относительному смещению в соответствии с предположительной аппаратной архитектурой осуществляют посредством сплошного декодирования бинарных данных.
В частности, анализ графов передачи управления выполняют посредством расчета гистограммы количества ребер, заканчивающихся на одном и том же адресе, причем первые три столбца с индексами 0, 1 и 2 отбрасывают.
В частности, анализ графов передачи управления выполняют посредством расчета общего количества непосредственно примыкающих друг другу в адресном пространстве ребер и количества ребер, начинающихся непосредственно перед окончанием условного перехода.
В частности, на этапе принятия решения о правильности идентификации аппаратной архитектуры проводится параллельное декодирование команд нескольких архитектур и характеристики графов передачи управления анализируют для всех доступных архитектур одновременно, после чего выбирают ту архитектуру, для которой выполняется два условия: гистограмма количества ребер не соответствует экспоненциальному закону распределения, т.е. отношения между соседними столбцами значительно меньше 10; отношение количества ребер, начинающихся непосредственно перед окончанием условного перехода, к общему количеству непосредственно примыкающих друг другу в адресном пространстве ребер больше 0,01.
Сущность изобретения поясняется чертежами, на которых изображено:
Фиг. 1 - блок-схема, иллюстрирующая способ экспресс-идентификации аппаратной архитектуры исполняющего устройства на основе анализа бинарный данных.
Фиг. 2, фиг. 3, фиг. 4, фиг. 5 - модели графов передачи управления в машинном коде, которые используются для задания условий идентификации аппаратной архитектуры.
Фиг. 2, фиг. 3, фиг. 4, фиг. 5 иллюстрируют различные модели графов передачи управления в машинном коде, используемые в настоящем способе: оператор множественного выбора (фиг. 2); принудительный выход из цикла (фиг. 3); досрочный выход из процедуры обработки (фиг. 4); условный оператор с двумя альтернативами (фиг. 5).
Фиг. 6. - схема устройства, реализующего описываемый способ.
На фигурах изображено: 1 - исследуемое устройство; 2 - блок получения немодифицированного образа памяти исследуемого устройства; 3 - блок исключения из образа памяти исследуемого устройства области высокоэнтропийных и низкоэнтропийных данных; 4 - блок поиска команд условных и безусловных переходов по относительному смещению в соответствии с предположительной аппаратной архитектурой; 5 - база данных архитектур; 6 - блок формирования и анализа графов передачи управления 7 - блок принятие решения о правильности идентификации аппаратной архитектуры.
Осуществление изобретения
Осуществление настоящего изобретения предусматривает способ экспресс-идентификации аппаратной архитектуры исполняющего устройства на основе анализа бинарных данных из образа памяти аппаратно-программных средств, который включает в себя последовательное выполнение следующих этапов:
- получение немодифицированного (несжатого, незашифрованного и т.д.) образа памяти исследуемого устройства, включающего машинный код управляющей программы;
- исключение из образа памяти исследуемого устройства области сжатых и шифрованных данных, определяемых по высокому значению параметра энтропии 0,9, а также однородных данных с энтропией меньше 0,3 при размере окна 5000 байт;
- поиск команд условных и безусловных переходов по относительному смещению в соответствии с предположительной аппаратной архитектурой, осуществляющийся посредством сплошного декодирования бинарных данных;
- формирование и анализ графов передачи управления:
1) расчет гистограммы количества ребер, заканчивающихся на одном и том же адресе, причем первые три столбца с индексами 0, 1 и 2 отбрасываются;
2) расчет общего количества непосредственно примыкающих друг другу в адресном пространстве ребер и количества ребер, начинающихся непосредственно перед окончанием условного перехода;
- проверку правильности идентификации аппаратной архитектуры, при которой проводится параллельное декодирование команд нескольких архитектур и характеристики графов передачи управления анализируются для всех доступных архитектур одновременно, после чего выбирается та архитектура, для которой выполняется два условия:
1) гистограмма количества ребер не соответствует экспоненциальному закону распределения, т.е. отношения между соседними столбцами значительно меньше 10;
2) отношение количества ребер, соответствующих модели условного оператора с двумя альтернативами, к общему количеству непосредственно примыкающих друг другу в адресном пространстве ребер больше 0,01.
Таким образом, использование исследуемого технического решения позволяет увеличить оперативность идентификации аппаратной архитектуры исполняющего устройства.
Технический результат изобретения, состоящий в снижении трудоемкости по расширению идентифицированных аппаратных архитектур, что достигается за счет подготовки декодера только для команд условных и безусловных переходов по относительному смещению без необходимости наличия обучающей выборки. Сохранение высокой избирательности и специфичности достигается за счет высокого уровня автоматизации и малой вероятности получения программоподобной структуры графов передачи управления в произвольных данных.
Пример достижения технического результата
Из исследуемого устройства 1 с неизвестной аппаратной архитектурой выгружается немодифицированный образ памяти 2, который подается на вход блока исключения из образа памяти области высокоэнтропийных и низкоэнтропийных данных 3, по результатам которого выбираются области памяти со значением энтропии от 0,3 до 0,9 при размере окна анализа 5000 байт. Оставшиеся (неисключенные) в результате предыдущего шага области памяти передаются на вход блоку поиска команд условных и безусловных переходов 4, который находит посредством сплошного декодирования бинарных данных команды условных и безусловных переходов по относительному смещению в соответствии с предположительной аппаратной архитектурой и запоминает их, причем, для получения декодеров машинных кодов условных и безусловных переходов используется накопленная в базе данных архитектур 5 информация. Данный набор условных и безусловных переходов из анализируемой предположительной архитектуры передается на вход блоку формирования и анализа графов передачи управления 6, в ходе работы которого рассчитываются следующие характеристики графов передачи управления:
1) гистограмма количества ребер, заканчивающихся на одном и том же
адресе, причем первые три столбца с индексами 0, 1 и 2 отбрасываются, - эта
характеристика отражает особенности моделей досрочного выхода
из процедуры обработки (фиг. 3 и фиг. 4) и оператора множественного выбора
(фиг. 2);
адресе, причем первые три столбца с индексами 0, 1 и 2 отбрасываются, - эта
характеристика отражает особенности моделей досрочного выхода
из процедуры обработки (фиг. 3 и фиг. 4) и оператора множественного выбора
(фиг. 2);
2) количество ребер, определяемых безусловными переходами, начинающимися непосредственно перед окончанием условного перехода, причем данный параметр выбран исходя из модели условного оператора с двумя альтернативами (фиг. 5).
Для принятия решения о правильности определения вычислительной архитектуры используется блок принятия решения 7, который производит параллельное декодирование команд нескольких архитектур и характеристики графов передачи управления анализируются для всех доступных архитектур одновременно, после чего выбирается та архитектура, для которой выполняется два условия:
1) гистограмма количества ребер не соответствует экспоненциальному закону распределения, т.е. отношения между соседними столбцами значительно меньше 10;
2) отношение количества ребер, соответствующих модели условного оператора с двумя альтернативами (фиг. 5), к общему количеству непосредственно примыкающих друг другу в адресном пространстве ребер больше 0,01.
Если условия не выполняются, на этапе 3 начинается новый поиск с помощью набора машинных команд условных переходов, характерных для другой аппаратной архитектуры.
Экспериментальные данные на основе идентификации аппаратной архитектуры Intel для 10 образцов с различными аппаратными архитектурами приведены таблице 1. В рамках эксперимента ошибочных решений не выявлено.
Выше описан лишь иллюстративный вариант осуществления настоящего изобретения, который не призван как-либо ограничивать объем изобретения. Любые модификации, эквиваленты и усовершенствования, отвечающие принципам изобретения, подлежат включению в объем изобретения.
ИСТОЧНИКИ ИНФОРМАЦИИ
1. R. Aristov, A. Gladkikh Artificial Recurrent Neural Networks (ARNN) for Reverse-Engineering of ASIC-based Device Firmware // Zeronight 2015.
2. S. Axelsson, «Using Normalized Compression Distance for Classifying File Fragments)), 2010 International Conference on Availability, Reliability and Security, Krakow, 2010, c. 641-646.
3. Raff E., Nicholas. C. An Alternative to NCD for Large Sequences, Lempel-Ziv Jaccard Distance // Proceedings of 23 International Conference on Knowledge Discovery and Data Mining (KDD)// 2017// 1007-1015.
4. Würtemberg T. Applying normalised compression distance for architecture classification. NCC Group Publication. URL: https://www.nccgroup.com/globalassets/our-research/uk/whitepapers/2017/applying-normalised-compression-distance-for-architecture-classification.pdf.
5. US 8381185 от 19.02.2013 Apparatus, system, and method for dynamic module flow analysis, заявка №4541571309 от 31.09.2009.
6. US 2006/0101435 A1 от 11.05.2006 Detection of code patterns, заявка №4596438904 от 13.10.2004.
7. US 2015/0248556 A от 03.09.2015 Firmware disassembly system заявка №61/945859 от 28.02.2014.
8. US 6014513 от 11.01.2000 Discovering code and data in a binary executable program, заявка №4599683997 от 23.12.1997.
Claims (13)
1. Способ экспресс-идентификации аппаратной архитектуры исполняющего устройства на основе анализа бинарных данных, характеризующийся тем, что
получают немодифицированный образ памяти исследуемого устройства, включающий машинный код управляющей программы,
исключают из образа памяти исследуемого устройства области высокоэнтропийных и низкоэнтропийных данных,
в полученной области памяти осуществляют поиск команд условных и безусловных переходов по относительному смещению в соответствии с предположительной аппаратной архитектурой посредством сплошного декодирования бинарных данных,
при этом вышеупомянутый поиск осуществляется на основании декодированных машинных кодов условных и безусловных переходов предположительной аппаратной архитектуры, полученных из базы данных аппаратных архитектур,
формируют и анализируют графы передачи управления на основании вышеуказанных найденных команд,
после чего принимают решение о правильности идентификации аппаратной архитектуры на основании полученных характеристик графов передачи управления.
2. Способ по п. 1, отличающийся тем, что исключают из образа памяти исследуемого устройства области высокоэнтропийных данных, определяемых по значению параметра энтропии по крайней мере в 0,9.
3. Способ по п. 1, отличающийся тем, что исключают из образа памяти исследуемого устройства области низкоэнтропийных данных, определяемых по значению параметра энтропии менее 0,3 при размере окна оценки не более 5000 байт.
4. Способ по п. 1, отличающийся тем, что поиск команд условных и безусловных переходов по относительному смещению в соответствии с предположительной аппаратной архитектурой осуществляют посредством сплошного декодирования бинарных данных.
5. Способ по п. 1, отличающийся тем, что анализ графов передачи управления выполняют посредством расчета гистограммы количества ребер, заканчивающихся на одном и том же адресе, причем первые три столбца с индексами 0, 1 и 2 отбрасываются.
6. Способ по п. 1, отличающийся тем, что анализ графов передачи управления выполняют посредством расчета общего количества непосредственно примыкающих друг другу в адресном пространстве ребер и количества ребер, начинающихся непосредственно перед окончанием условного перехода.
7. Способ по п. 1, отличающийся тем, что на этапе принятия решения о правильности идентификации аппаратной архитектуры происходит параллельное декодирование команд нескольких архитектур и характеристики графов передачи управления анализируются для всех доступных архитектур одновременно, после чего выбирают ту архитектуру, для которой выполняется два условия: гистограмма количества ребер не соответствует экспоненциальному закону распределения, т.е. отношения между соседними столбцами значительно меньше 10; отношение количества ребер, начинающихся непосредственно перед окончанием условного перехода, к общему количеству непосредственно примыкающих друг другу в адресном пространстве ребер больше 0,01.
Publications (1)
| Publication Number | Publication Date |
|---|---|
| RU2818270C1 true RU2818270C1 (ru) | 2024-04-26 |
Family
ID=
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6014513A (en) * | 1997-12-23 | 2000-01-11 | University Of Washington | Discovering code and data in a binary executable program |
| US20060101435A1 (en) * | 2004-10-13 | 2006-05-11 | International Business Machines Corporation | Detection of code patterns |
| US8381185B2 (en) * | 2009-03-31 | 2013-02-19 | International Business Machines Corporation | Apparatus, system, and method for dynamic module flow analysis |
| US20150248556A1 (en) * | 2014-02-28 | 2015-09-03 | Government Of The United States, As Represented By The Secretary Of The Air Force | Firmware Disassembly System |
| US9135442B1 (en) * | 2008-05-30 | 2015-09-15 | Symantec Corporation | Methods and systems for detecting obfuscated executables |
| WO2016049373A1 (en) * | 2014-09-25 | 2016-03-31 | Synopsys, Inc. | Method for detecting libraries in program binaries |
| KR101754720B1 (ko) * | 2016-01-14 | 2017-07-19 | 주식회사 블랙포트시큐리티 | 비 실행 파일 내의 악성코드 검출 장치 및 방법 |
| RU2728497C1 (ru) * | 2019-12-05 | 2020-07-29 | Общество с ограниченной ответственностью "Группа АйБи ТДС" | Способ и система определения принадлежности программного обеспечения по его машинному коду |
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6014513A (en) * | 1997-12-23 | 2000-01-11 | University Of Washington | Discovering code and data in a binary executable program |
| US20060101435A1 (en) * | 2004-10-13 | 2006-05-11 | International Business Machines Corporation | Detection of code patterns |
| US9135442B1 (en) * | 2008-05-30 | 2015-09-15 | Symantec Corporation | Methods and systems for detecting obfuscated executables |
| US8381185B2 (en) * | 2009-03-31 | 2013-02-19 | International Business Machines Corporation | Apparatus, system, and method for dynamic module flow analysis |
| US20150248556A1 (en) * | 2014-02-28 | 2015-09-03 | Government Of The United States, As Represented By The Secretary Of The Air Force | Firmware Disassembly System |
| WO2016049373A1 (en) * | 2014-09-25 | 2016-03-31 | Synopsys, Inc. | Method for detecting libraries in program binaries |
| KR101754720B1 (ko) * | 2016-01-14 | 2017-07-19 | 주식회사 블랙포트시큐리티 | 비 실행 파일 내의 악성코드 검출 장치 및 방법 |
| RU2728497C1 (ru) * | 2019-12-05 | 2020-07-29 | Общество с ограниченной ответственностью "Группа АйБи ТДС" | Способ и система определения принадлежности программного обеспечения по его машинному коду |
Non-Patent Citations (1)
| Title |
|---|
| Edward Raff, "An Alternative to NCD for Large Sequences, Lempel-Ziv Jaccard Distance", 22.09.2018, URL: https://web.archive.org/web/20180922072034/https://www.edwardraff.com/publications/alternative-ncd-lzjd.pdf. * |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11928213B2 (en) | Malware detection | |
| CN108334781B (zh) | 病毒检测方法、装置、计算机可读存储介质和计算机设备 | |
| US20200380125A1 (en) | Method for Detecting Libraries in Program Binaries | |
| US10545746B2 (en) | Biosequence-based approach to analyzing binaries | |
| CN109740347B (zh) | 一种针对智能设备固件的脆弱哈希函数的识别与破解方法 | |
| CN110780965B (zh) | 基于视觉的流程自动化方法、设备及可读存储介质 | |
| CN113486350B (zh) | 恶意软件的识别方法、装置、设备及存储介质 | |
| US11237943B2 (en) | Generating inputs for computer-program testing | |
| CN113626241A (zh) | 应用程序的异常处理方法、装置、设备及存储介质 | |
| CN111444513A (zh) | 一种电网嵌入式终端的固件编译优化选项识别方法及装置 | |
| De Nicolao et al. | ELISA: ELiciting ISA of raw binaries for fine-grained code and data separation | |
| CN109508545B (zh) | 一种基于稀疏表示和模型融合的Android Malware分类方法 | |
| CN116361797A (zh) | 一种基于多源协同和行为分析的恶意代码检测方法及系统 | |
| KR102418212B1 (ko) | 아키텍처에 무관한 프로그램 함수 유사도 측정 방법 | |
| CN111580822A (zh) | 基于vex中间语言的物联网设备组件版本信息提取方法 | |
| US20230306112A1 (en) | Apparatus and method for detection and classification of malicious codes based on adjacency matrix | |
| RU2818270C1 (ru) | Способ экспресс-идентификации аппаратной архитектуры исполняющего устройства на основе анализа бинарных данных | |
| WO2018121464A1 (zh) | 一种病毒检测方法及装置、存储介质 | |
| Iravani et al. | An Interpretable Deep Learning Approach for Biomarker Detection in LC-MS Proteomics Data | |
| CN113467783A (zh) | 一种人工智能加速器的核函数编译方法和装置 | |
| CN112394984B (zh) | 一种固件代码分析方法及装置 | |
| CN118154899B (zh) | 面板边缘识别方法和装置、电子设备及存储介质 | |
| CN113726576B (zh) | 网络适配框架的构建方法、装置、设备及存储介质 | |
| CN114077728B (zh) | 基于静态检测的Android应用生物认证安全性方法 | |
| RU2778979C1 (ru) | Способ и система кластеризации исполняемых файлов |