库函数检测方法简要综述:
函数检测是一种二进制分析技术,将二进制代码分类为原始代码级别的函数相近的函数。用于二进制插桩、二值漏洞搜索、二元保护方案(包括流的完整性),以及帮助反向工程师分析代码区域间隔,推理复杂的二进制代码。目前的库函数识别技术中,主要包括白名单匹配方法、提取API级别的函数签名方法、字节码特征匹配方法、以及控制流图。
对于白名单匹配方法,最简单的是基于函数名字做匹配,但是由于函数名可以被轻易更改,因此不具有抵抗混淆的能力。函数名、参数名等可以被轻易更改,但是调用参数类型,返回值类型是不可修改的,因此,结合函数的这些固定的API特征,形成函数方法签名匹配方法。
Backes等人[1]提出了Pruned Method signatures,也就是对signatures在method级别进行必要的修剪。方法签名可以唯一确定这个函数,由方法名称和有序的参数列表组成。Backes等人在提取了方法签名后,去除函数名,参数名字用特定符号X表示,留下的列表是不可更改的方法签名,如下图所示:
得到修剪后的方法签名后,采用MD5将其hash成128位的比特串。这个bit值代表method级别的特征。但是我们要检测的库函数是一个package级别,一个package包含多个class,一个class包含多个method。于是利用Merkle trees将多个Method Hash集合再一次进行hash操作,形成class hash值,作为class级别的特征。
对于每一个已知的库函数名单,计算library中每个package