二进制插桩与DTA

最新推荐文章于 2024-08-22 15:47:00 发布
最新推荐文章于 2024-08-22 15:47:00 发布
阅读量1.2k 收藏 7
点赞数 1
文章标签: 系统安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_55875295/article/details/124872913
版权

二进制插桩

所谓插桩,其实就是在二进制程序指定位置(指令,函数)插入监控代码,类似hook,静态二进制插桩(Static Binary Instrumentation,SBI,反汇编,会修改磁盘文件)和动态二进制插桩(Dynamic Binary Instrumentation, DBI,对动态指令流进行修改,慢4倍)。常用框架有Intel Pin或者valgrind。(虚拟机对指令流进行修改)

DTA

动态污点分析(Dynamic Taint Analysis,DTA)也称为数据流追踪(Data Flow Tracking,DFT)、污点追踪(taint tracking) 或污点分析(taint analysis) , DTA通常在动态二进制插桩平台(如 Intel Pin)的基础上实现

过程

攻击数据(污点)从网络、磁盘的系统调用或指令进入内存(污点源),传播开(移动,拷贝。计算),到达攻击点(污点槽),被插桩代码(回调函数)检测,组织攻击

例子:
'./virus_code'-->recvfrom-->exec_cmd-->execve
'./virus_code'-->recvfrom(插桩post标记污点)-->exec_cmd-->(插桩pre检测污点)execve

DBI&SBI原理

静态二进制插桩:

  1. 相对较快(10%至2倍)
  2. 独立的二进制程序
  3. 需要明确指定要插桩的库
  4. 不支持动态生成的代码
  5. 对整个执行过程插桩
  6. 容易出现反汇编错误
  7. 需要重写二进制程序且容易出错
  8. 需要符号信息来减少错误

动态二进制插桩:

  1. 相对较慢(4倍或更多)
  2. 依赖DBI库和工具
  3. 不需要指定要插桩的库
  4. 可处理动态生成的代码
  5. 可动态附加和分离
  6. 不需要反汇编
  7. 不需要修改二进制程序
  8. 不需要符号信息

SBI插桩方法 

  1. jmp方法,占5字节
    直接写入jmp  会占用后面的指令  容易破坏多条指令 
    jmp过去 然后恢复再jmp回来 (类似HOOK)
  2. int3 指令会生成一个软中断,用户空间的程序(如SBI库或调试器)能过通过操作系统提供的SIGTRAP信号(在linux上)捕获该中断,int3 的关键在于他只有1字节,可以随便破坏,都只会破坏一条指令,不用担心或破坏多条 操作码是0xcc。 从SBI的角度来看,使用int3 对指令进行插桩,只需用0xcc 覆盖该指令的第一字节。当SIGTRAP信号产生时,可以使用Linux操作系统的 ptrace API 找出中断发生的地址,从而获取插桩点地址没然后根据插桩点位置调用响应的插桩代码
    int 3 这样的软中断很慢,会导致插桩后的应用程序的运行开销过大。此外,int3 方法与正在将int3 作为断点调试的程序不兼容
  3. 跳板方法(trampoline)
    不会对原始代码进行插桩。创建一个原始代码的副本并只对这个副本进行插桩,该方法不会破坏任何代码或数据引用,因为其任然指向原始的、未更改的位置。为了确保二进制程序运行插桩代码而不是原始代码,跳板方法使用 jmp 指令,即跳转指令,将原始代码重定向到插桩后的副本。每当有调用或跳转指令将控制流转移到原始代码中时,该位置的跳板将立即跳转到相应的插桩代码。

DBI 系统的架构

DBI 系统的架构
DBI计算程序执行了多少基本块(BBL,basic block,是一个单入口单出口的代码段。同样,一个 BBL 内部可能开始一个新的 BBL)。实现方案为使用 DBI 引擎的API 对每个基本块的最后一条指令进行插桩,插入回调对基本块递增计数。(主要就是这个虚拟机)

 PIN

Pin读取和实时编译代码的粒度为踪迹(trace)。踪迹是一种类似基本块的抽象方式,与常规的基本块不同,其只能在顶部进入,但可能包含多个出口。  Pin 定义踪迹为直线指令序列,该序列在遇到无条件控制流转移(call, ret)、达到预定义的最大长度或最大条件控制流指令数时结束。  Pin 总是以踪迹粒度实时编译代码,但它支持在多种粒度上插桩代码,包括指令、基本块、踪迹、函数及映像

DTA分析

污染源、污点槽及污点传播
污点源是指你选择追踪的数据所在的程序的位置。系统调用、函数入口点或单条指令都可作为污点源,recv和recvfrom 系统调用就是污点源

污点槽是指进行检查的程序位置,以确定这些位置是否会受到污点数据的影响,用回调函数插桩间接调用、间接跳转及返回指令,以检查这些指令的目标地址是否收到污点数据的影响,这些插桩过的指令就是污点槽。DTA库提供用于检查寄存器或内存位置是否被污染的函数,当污点槽被检测出污染的时候,程序应该触发一些响应机制

污点传播:

 污点信息的存储:影子内存

为了存储寄存器或内存的污点位置和污点颜色等信息,DTA引擎维护专用的影子内存(shadow memory) 影子内存是由DTA系统分配的虚拟内存区域,用于追踪其余内存的污点状态。通常,DTA系统还在内存中分配一个特殊的结构,用于追踪CPU寄存器的污点信息

 

 

 

 

#A#
关注
动态二进制插桩原理与实战
qq_42882717的博客
03-30 3300
二进制插桩~说点什么插桩是啥为啥要插桩源代码插桩二进制插桩如何插桩两种主要方式和三种执行模式方式1:方式2:第一种模式:第二种模式:第三种模式: 说点什么 虽然不是主要做这个的,但是安全工程师的知识面太大咯, 学习其它科目的知识有助于锻炼思维,所以记一下学习过程 插桩是啥 动态二进制插桩(dynamic binary instrumentation ,DBI)技术是一种通过注入插桩代码,来分析二进制应用程序在运行时的行为的方法。 动态二进制插桩技术,可以在不影响程序动态执行结果的前提下,按照用户的分析需求,
插桩valgrind_动态二进制插桩的原理和基本实现过程(一)
weixin_39562338的博客
12-24 1223
前言动态二进制插桩(dynamic binary instrumentation ,DBI)技术是一种通过注入插桩代码,来分析二进制应用程序在运行时的行为的方法。动态二进制插桩技术,可以在不影响程序动态执行结果的前提下,按照用户的分析需求,在程序执行过程中插入特定分析代码,实现对程序动态执行过程的监控与分析。目前,应用广泛的动态二进制分析平台有Pin,DynamoRIO和Frida等。最常用动态二...
污点分析
qq_34045174的博客
10-16 7446
Review’污点分析技术的原理和实践应用 1. 污点分析的基本原理 污点分析可以抽象成一个三元组<sources, sinks, sanitizers>的形式, sources:污点源,代表直接引入不受信任的数据或者机密数据到系统中 sink:污点汇聚点,代表直接产生安全敏感操作或者泄露隐私数据到外界 sanitizer:无害处理,代表通过数据加密或者移除危害操作等手段使数据传播不再对软件系统的信息安全产生危害 污点分析就是分析程序中由污点源引入的数据是否能够不经过无害处理,而直接传播到污
动态二进制分析与插桩原理介绍(PDF)
12-02
老外的演讲稿(PDF),主要是介绍了二进制插桩的原理与实现,然后举了一些例子来加以讲解分析。英文太渣的童鞋就自己翻译下再阅读吧~~~
二进制插桩】基于DynamoRIO的代码插桩方案
最新发布
weixin_42932294的博客
08-22 2075
一种在程序的二进制代码中插入额外代码的技术,用于监控、分析或修改程序的行为。
【9】最完整的二进制插桩理论介绍和实例分析:指令流分析器+二进制文件脱壳器
zitong0705的博客
09-08 1799
吐血整理二进制插桩理论及实例,实例部分的分析内容还不够完整,后期找时间补上!
PIN 二进制插桩平台
04-25
PIN平台允许你通过添加、修改或者变换指令逻辑来在每一个指令基本块的内部插装单独的指令。
DynamoRIO与Pintools及Valgrind
tony的专栏
03-31 3130
动态插桩软件,前者开源,有时间再研究,先记下了
轻量级嵌入式软件动态二进制插桩算法.docx
06-17
轻量级嵌入式软件动态二进制插桩算法 本文介绍了一种轻量级的动态插桩解决方案,旨在解决嵌入式设备中的软件插桩问题。该方案避免使用传统方案中动态二进制翻译的手段,能够在无源码、操作系统、指令集依赖的条件下...
基于二进制插桩的ASIP处理器指令集混合仿真方法.pdf
09-25
在基于二进制插桩的混合仿真中,二进制插桩技术用于在软件仿真层面上插入特定的硬件行为,从而更准确地模拟ASIP处理器的实际操作。 在进行ASIP处理器的混合仿真时,首先需要对目标指令集进行分析,识别出哪些指令...
动态二进制插桩的原理和基本实现过程(Pin/DynamoRIO/Frida)
热门推荐
海阔天空
04-26 1万+
英文原文全文http://deniable.org/reversing/binary-instrumentation 译转自https://www.4hou.com/binary/13026.html和https://www.4hou.com/binary/13116.html 翻译并不全 感谢翻译作者luochicun 目录 前言 Pin DynamoRIO Frida 前言 ...
插桩工具详细介绍
05-08
针对应用程序的插桩工具
PEBIL静态插桩工具
10-24
PEBIL,一款静态插桩工具,工具实现了三个基本功能,具体情况可以在网上找到相关论文,可以在github上找到,不能上github的可以下载这个!
[逆向工程] Linux 二进制分析(4):二进制插桩分析
[热爱分享]希望大家都能花时间在学习自己喜欢的东西上
05-12 601
逆向工程实验四:Linux 二进制分析(4)
软件测试-二进制插桩
勤奋的小猪
09-08 6151
关键词:插桩,软件测试     二进制插桩作用 1.        程序运行时拦截,在运行时向程序注入我们自己的代码。 2.        调试程序 3.        Tracing and logging, 分析函数调用关系图,api覆盖数据。 4.        提取数据,从程序中提取一些感兴趣的关键data。 5.        改变程序行为,如程序打补丁,模拟数据(emu
AFL模糊测试学习(二)二进制插桩
m0_37907383的博客
04-09 1713
上一节一起学习了使用afl-gcc对有源码的程序如何插桩,并且插桩的机制,这一节我们来一起学习如何使用QEMU对没有源码的二进制程序进行插桩。 首先要运行build_qemu_support.sh这个脚本,这个时候如果有没安装pixman的错误的时候直接用apt安装即可。 apt-get install libpixman-1-dev 然后这个脚本是构建了一个linux系统的虚拟机并且存放在afl...
dynamorio安装(二进制插桩工具)
"my"的博客
09-01 1176
DynamoRIO安装 git clone https://github.com/DynamoRIO/dynamorio.git 可用的git版本 ad03a4ac7517b8cc3f21a2aa6e68b1a52cae74e4,新版本的接口有一些不太一致,如果不需要接口兼容的话使用最新版就可以,我这里是需要旧版本的,所以进行了回溯( git reset --hard ad03a4ac7517b8cc3f21a2aa6e68b1a52cae74e4) 安装教程github首页找不到,其实在wiki里后几页(
基于动态二进制插桩的软件关键函数自动定位方法
静态二进制特征分析和动态调试技术仍然是当前研究的基础,但动态二进制插桩的引入为这一领域带来了新的可能性,使得关键函数定位变得更加智能化和自动化。 这篇文章的主要贡献在于提出了一种创新的、基于软件执行...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

#A#

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值