【论文分享】SYMBION: Interleaving Symbolic with Concrete Execution

最新推荐文章于 2021-08-07 19:20:30 发布
最新推荐文章于 2021-08-07 19:20:30 发布
阅读量449 收藏 3
点赞数 1
分类专栏: 符号执行 文章标签: angr 符号执行
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013648063/article/details/118489953
版权

论文来源于:2020 IEEE Conference on Communications and Network Security (CNS)

研究团队:UCSB做angr的团队

今天推荐的是一个工具类的论文。正如题名,文章的工作主要是在符号执行上加了个功能,能够在具体执行和符号执行切换。

要解决的问题

背景

符号执行在分析程序和理解程序上有很大的优势,主要在于其能够生成到达程序某个状态的输入。在计算机安全领域,符号执行被广泛应用在各个领域,比如提高模糊测试的代码覆盖率、逆向恶意软件、发现闭源软件的后门以及自动生成利用。

然而符号执行有严重的状态爆炸问题,导致其无法应用在真实软件中分析。作者总结了现有符号执行存在的两个问题:

  • 缺少环境模型(Missing Environment Model)
  • 缺少数据依赖(Missing Data Dependency)

缺少环境模型可以从三个维度来说,分别是API-level、syscall-level、instruction-level。

API-level指的是库函数,比如strcpy、memcpy这些。一般符号执行引擎都会为这些函数写个模型,当符号执行到这些函数的时候,就会用模型来替代原本的库函数,这样能够避免状态爆炸。但如果遇到了符号执行引擎里没有的库函数,该如何处理呢?有两种方法,一种是自己写模型来替代库函数,另外一种是符号执行这些函数的真实的代码。第一种方法不太现实,如果有非常多的函数需要建模,就非常耗时耗力。第二种方法有可能导致状态爆炸。

Syscall-level指的是系统调用。大部分的符号执行引擎都提供了这个级别的模型,来避免在模拟环境中替代内核。由于系统调用会对系统和用户程序造成影响,这个级别的模型需要完整且精确,否则符号执行就会不可靠。

Instruction-level指的是指令。符号执行引擎支持不同体系结构常用的方法是将代码转换为中间层。然而对于现代的CISC体系结构,比如intelx86就有超过1000个合法指令,并且大部分有副作用。而由于中间层可能不会支持所有的指令就会导致从二进制转换的不准确,这些对符号执行引擎产生了很大的影响。如果出现这种情况,就会生成非法的程序状态,分析结果就会不够可靠。

缺少数据依赖

大部分的符号执行引擎都允许从任意函数开始符号执行。但需要用户去定义开始状态(比如寄存器的值和内存的值),并且还需要正确地表示数据依赖。比如,下图的例子,缺少数据依赖会导致状态爆炸问题。如果地址0x0000555555774000上的数据不存在,符号执行引擎就会将符号遍历存在0x0000555555774008这个地址上。而这个地址上的数值在后面的代码中控制循环终止。一个符号化变量控制循环的次数,就会导致死循环。

image-20210705111916076

再来一个motivating example。如果从main函数开始符号执行,在download_config函数里出现了几个winAPI(11,12,14行)是没有建模过的。这就会导致33行download_config返回的是一个符号化的变量。而这个符号变量又传到了parse_config函数里。然后,xor_key_len是基于这个符号化的参数做运算,所以xor_key_len也是符号化变量。而这个变量又控制循环的次数,所以就会导致循环无法停止。而我们要分析的heavily_packed_function就还没分析就状态爆炸了。

image-20210705112002882

怎么解决的问题

提出了interleaved symbolic execution,其核心思想是在具体执行和符号执行互相切换。主要可以分为三个步骤。

  • 具体执行(initial concrete execution)
  • 符号执行(symbolic execution)
  • 具体执行(re-synced concrete execution)

下图中的缩写表示含义为:

  • CSP:Concrete Starting Point
  • PoI:Point of Interest
  • TP:Target Point

在第一阶段,从二进制的entry开始(CSP),具体执行到PoI处。此时,保存其状态(寄存器及内存的值)

然后,在PoI处切换为符号执行,直到运行到TP。

image-20210705123238477

第三阶段要切换为具体执行。所以需要第二阶段中的符号变量转换为具体值。就是将路径约束和符号变量合在一起求解出一个具体的值,然后存在内存和寄存器里。存在PoI那个节点的状态,然后具体执行到TP处。

image-20210705123639612

解决得怎么样

作者只测试了3个恶意软件。对于这些恶意软件,需要手工分析下PoI在哪里。然后展示了自己工具在分析heavy initialization时候的优势。

感觉结果是写了三个case study。

作者开源了他的实验测试用例:https://github.com/degrigis/symbion-use-cases

总结

发现这篇论文是因为在angr的slack里发现了symbion,感到好奇,就找到这部分文档看了一下,感觉可以用到我的工作里来缓解状态爆炸的问题。

参考链接:

  • angr文档中关于symbion的部分:
    • https://docs.angr.io/advanced-topics/symbion
    • https://angr.io/blog/angr_symbion/(更详细)
  • 论文:https://ieeexplore.ieee.org/abstract/document/9162164
破落之实
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
awesome-symbolic-execution:精选的极好的符号执行资源的精选清单,包括重要的研究论文,演讲,视频和工具
04-13
出色的符号执行 精选的出色符号执行资源的精选清单,包括重要的研究论文,演讲,视频和工具。 目录 文件 ,James C. King。 LA Clarke,。 ,Edward J. Schwartz,Thanasis Avgerinos,David Brumley。 罗伯托·巴尔多尼(Roberto Baldoni),埃米利奥·科帕(Emilio Coppa),丹尼尔·科诺·德埃利亚(Daniele Cono D'Elia),卡米尔·德米特雷斯库(Camil Demetrescu)和艾琳·芬诺基(Irene Finocchi),概述。 课程 。 。 。 影片 麻省理工学院的符号执行讲座。 象征性执行讲座(Coursera软件安全课程的一部分) 。 工具 Java JPF-Symbc-基于Java PathFinder构建的符号执行工具。 支持多个约束求解器,延迟初始化等。
angr原理与实践(一)——原理
qq_40229814的博客
07-15 1901
angr是加州大学圣巴巴拉分校GiovanniVigna大佬领衔的安全实验室的杰作,对应的论文发表在2016年的网络安全顶会IEEES&P上,原论文链接在这以上是angr的核心技术实现的介绍,可以说我这篇博文介绍的还是比较浅显,因为从某种程度上来说,我只是在原论文翻译的基础上,添加了一点我的理解以及别人的理解,后面的我的部分博文将会针对部分angr的核心技术,进行相应的基础知识介绍,以方便能理解angr是个多么伟大的工作。...
计算机会议等级排名,中国计算机学会推荐国际学术期刊(搬运于中国计算机学会)
zhENGHAOSTU的博客
08-07 9109
每次查会议等级时都得重新搜索,还有好多人的会议等级都已经过时了,这次干脆直接去官网搬运去了,该等级是2019版本的,应该是目前最新的。如有差错大家留言,我马上更改。如有侵权,请留言,看到马上删除。 源网址:https://www.ccf.org.cn/c/2019-04-25/663625.shtml 中国计算机学会推荐国际学术期刊 (计算机体系结构/并行与分布计算/存储系统) 一、A 类 序号 刊物简称 刊物全称 .
【形式化方法】Part A: Concrete execution(具体执行)
weixin_41950078的博客
01-17 1027
在这节课中,我们讨论了定义程序语义的一种特定风格:操作语义,即程序在某些虚拟机上执行。我们还讨论了符号执行,它类似于操作语义,只是程序是在一个符号虚拟机上执行的,所有的程序路径都是以系统的方式探索的。最后,我们讨论了concolic的执行,即程序的具体执行和符号执行。 在这个任务中,我们将构建几个执行器:具体执行器、符号执行器和concolic执行器。具体来说,这个作业分为四个部分,每个部分都包含一些教程和问题。第一部分是关于具体执行的,您将根据我们在类中讨论的大步骤操作语义实现一个执行器;第二部分是符号
论文研究-一种基于angr的Mach-O分析框架设计与实现 .pdf
08-20
一种基于angr的Mach-O分析框架设计与实现,郭景怡,郭燕慧,Mach-O二进制的运行依赖于一个运行时系统,这使得Mach-O二进制的分析与普通二进制分析有很大的出入。本文从二进制的基础分析方法CFG生
angr源码分析——CFGAccurate and Function Manager
doudoudouzoule的博客
05-06 3055
angr的控制流图恢复可以分为两种,一种是CFGAccurate,一种是CFGFast。关于它们的介绍,在我以前的一篇《自动化二进制分析技术》中有所提及,为了方便代码的理解,我把这部分内容再次放在本文的后面了。所以,如果你对控制流恢复一窍不通的话,可以跳到最后 控制流图恢复 部分先了解理论。angr通过执行每一个基本块并观察基本块的执行流向来构造CFG。然而,在不同的上下文中基本块的流向将不同。如...
symbion:基于运行时分析的3D Java代码理解工具-开源
06-29
3-D Java 代码理解和可视化工具,允许记录从任意点到另一个 Java 程序的执行,并在 3-D 环境中可视化调用图,具有源代码浏览器以帮助代码理解。 https://docs.google.com/file/d/0B9tS9YG34Qd4RlVTMUo5UFRGUzg/edit
Symbion Daemon Tool-开源
05-01
Symbion守护程序工具是一个守护程序主工具。 它运行并监视其他守护程序,并在必要时重新启动它。 如果守护程序支持SDT,则它可以与其通信并可以通过它进行控制。
Symbion Simple Class Library-开源
05-03
SSCL是一个小型安全的C ++库,其中包含一些有用的数据类型(列表,avltree),流处理,网络支持,词法分析器等。SSCL的主要目标是帮助C ++守护程序开发。
Symbion SSL Proxy-开源
05-03
Symbion SSL代理侦听TCP端口,接受SSL连接,然后将它们转发到另一个(本地或远程)TCP端口或UNIX域套接字。
Symbion S36 Post-Reflow AOI Systemsymbion S36后回流AOI系统
07-22
Symbion S36 Post-Reflow AOI Systemsymbion S36后回流AOI系统
Driller工具分析
Chen_zju的博客
06-24 5617
1. Driller介绍 driller在afl的基础上开发的crash模糊测试工具。Driller在AFL的基础上加入了动态符号执行引擎,当模糊测试发生stuck时,使用动态符号执行去突破这些限制,生成满足fuzz需求的新输入,使得fuzz能够继续执行。 总体上说,Driller结合了AFL的高效、低消耗、快速的优点和动态符号执行探索能力强的优点,又避免了AFL较难突破特殊的边界和动态符号执...
二进制分析框架angr基本信息
u013115415的博客
11-10 2386
1.angr是新一代二进制文件分析框架,旨在解决下列问题: 1.载入二进制文件到分析程序中; 2.将二进制文件翻译成中间表示; 3.执行真正的分析,可能是: 一部分或全程序的静态分析; 一种程序状态空间的符号搜索; 以上方法的部分结合使用。 2.二进制的载入:CLE 3.中间表示:VEX(使angr实现跨底层结构分析二进制文件) 4.求解程序引擎:约束求解和其它计
angr 的中文说明文档
瘦果的专栏
03-22 2791
https://github.com/a7vinx/angr-doc-zh_CN/blob/master/docs/loading.md
angr初探
Simp1er的csdn博客
12-18 9493
angr 安装与简单使用 介绍angr总结来说,angr用于逆向工程中进行二进制分析的一个python框架 具体介绍见其github主页angr符号执行符号执行Symbolic Execution)是一种程序分析技术。其可以通过分析程序来得到让特定代码区域执行的输入。使用符号执行分析一个程序时,该程序会使用符号值作为输入,而非一般执行程序时使用的具体值。在达到目标代码时,分析器可以得到相应的路
angr符号执行用例解析——0ctf_trace
doudoudouzoule的博客
03-14 1973
在这个用例中,给出了一个带有程序执行的trace的text文件。这个文件有两列,地址和执行指令。所以我们知道所有的执行的指令和分支,但是我们不知道初始数据。通过逆向,我们发现在栈上有一段缓冲区最先由已知字符串常量初始化的,然后一个未知的字符串被添加到后面(也就是flag),最终由相同的快速排序转化进行了排序。因此我们需要以某种方式找到这个flag。使用angr很容易处理这个问题,我们只需要在每次分...
二进制分析工具angr使用学习(1)
逆向随笔
04-18 2700
参考文章: Angr:一个具有动态符号执行和静态分析的二进制分析工具 1. angr安装-linux 安装依赖 sudo apt-get install python-dev libffi-dev build-essential virtualenvwrapper 安装angr mkvirtualenv angr && pip install angr 出现错误...
Angr源码分析——DDG的生成
zhuzhuzhu22的博客
01-09 1778
本博客由闲散白帽子胖胖鹏鹏胖胖鹏潜力所写,仅仅作为个人技术交流分享,不得用做商业用途。转载请注明出处,未经许可禁止将本博客内所有内容转载、商用。       上一篇博客我们分析了DTaint这篇论文是如何进行静态分析的,同时我注意到论文中说Angr的DDG很慢,我们这次来看一下Angr的DDG是如何生成的,对比一下两者的方法,看下是由于代码问题造成的还是由于方法造成的。 首先看下Angr中对D...
angr学习【一】
BadRer的博客
05-12 5401
前言 最近由于遇到一些题需要使用angr框架解决。因此呢,学习一下吧,这个框架。 环境安装 https://github.com/angr 不多说了 题目一
26. 基于视觉的道路识别技术的智能小车导航源代码.zip
最新发布
06-02
1.智能循迹寻光小车(原埋图+PCB+程序).zip 2.智能循迹小车程序.zip 3.智能寻迹小车c程序和驱动.zip 4. 智能小车寻迹(含霍尔测連)c程序,zip 5.智能小车完整控制程序,zip 6.智能小车黑线循迹、避障、遥控实验综合程序,zip 7.智能小车测速+12864显示 C程序,zip 8. 智能小车(循迹、避障、遥控、测距、电压检测)原理图及源代码,zip 9.智能灭火小车,zip 10,智能搬运机器人程序.zip 11.智能arduino小车源程序,z1p 12.-种基于STM32的语音蓝牙智能小车,zip 13.循迹小车决赛程序,zip 14.循迹小车51程序(超声波 颜色识别 舵机 步进电机 1602).zip 15.寻光小车,zip 16.小车测速程序,zip 17.五路循迹智能小车c源码.zip 18.无线小车原理图和程序,zip 19.四驱智能小车资料包(源程序+原理图+芯片手册+各模块产品手册).zip 20.4WD小车安装教程及程序,z1p 21.四路红外循迹小车决赛程序,zip 22,适合初学者借鉴的arduino智能小车代码集合,zip 23.脑电波控制小车,zip 24.蓝牙智能避障小车,zip 25.基于树莓派监控小车源码.zip 26.基于视觉的道路识别技术的智能小车导航源代码,zip 27.基于STM32F407的超声波智能跟随小车,zip 28.基于arduino的蓝牙智能小车,zip.zip 29.基于51的蓝牙智能小车,zip 30.基于51单片机的红外遥控控制小车程序,zip

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

破落之实

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值