论文学习_Similarity of binaries through re-optimization

标题: Similarity of binaries through re-optimization (Yaniv David,2017) 

作者: Yaniv David, Nimrod Partush, Eran Yahav

期刊: Proceedings of the 38th ACM SIGPLAN Conference on Programming Language Design and Implementation

摘要

我们提出一种可扩展的方法，用于在无调试信息的剥离二进制文件间建立相似性关联。二进制相似性分析的核心挑战在于：需识别经不同编译器、优化级别或目标架构编译的代码之间的共性，同时避免误报。克服该挑战对逆向工程及漏洞代码定位具有重要意义。我们提出的技术兼具可扩展性与精确性，其通过对外部过程片段进行重优化，避免传统重量级语义比对。该方法将二进制程序分解为可比片段，利用编译器优化器将其转换为规范化形式，从而通过轻量语法比较即可识别等价片段。基于从真实环境中采集的样本构建统计框架，生成能量化片段对显著性的全局上下文信息，进而将成对片段等价性提升至全过程相似性判定。通过实现工具GitZ并进行大规模测试，验证了该方法能高效完成数百万次比对，且以高精度识别相似性。

引言

在分析经过剥离的二进制库或可执行文件时，安全研究人员常面临一项关键挑战：如何准确识别二进制程序中引用的已知库代码。大量时间常被耗费在对预先分析过或来自标准库的代码进行重复分析。这一问题的根源在于，源代码往往经由不同编译器、优化选项组合进行移植、修改和跨架构编译，而编译过程中任何细微差异都会导致生成的汇编代码出现显著区别，使得研究人员难以有效利用已有知识进行识别。

当安全人员试图定位受新披露的0day漏洞影响的代码时，情况会变得更加严峻。这类易受攻击的代码可能被嵌入到无数二进制文件中，并在组织内各种设备上运行，此时时间因素尤为关键。一个典型案例是近期被发现的Shellshock漏洞——该漏洞潜伏长达20年未被察觉，并被移植到包括苹果OSX与Ubuntu在内的多个Unix操作系统版本中，甚至影响越狱后的ARM架构iOS设备。这一漏洞的发现要求机构内的安全研究人员彻底排查所有可能运行受影响程序的设备并检测相关二进制文件。然而，当二进制文件遭到剥离（此为常见情况）时，此项任务几乎难以完成。

据我们所知，现有二进制代码搜索方法均存在以下一项或多项局限：（1）无法有效处理剥离符号、跨编译器、跨优化级别及跨架构场景；（2）误报率居高不下；（3）难以扩展到百万级别规模的比对；（4）除静态分析外还需依赖动态分析。

我们提出一种针对剥离二进制文件的程序相似性搜索新方法，该方法在跨编译器供应商、优化级别及架构的场景下兼具高准确性与可扩展性。其核心流程包括：首先将二进制程序分解为基于数据流切片的基本可比单元——“代码链”；随后通过创新的“上下文外重优化”技术，利用编译器优化器将不同语法形式的代码链转化为规范化的等效表示，从而在避免使用重量级语义工具（如重写引擎或SMT求解器）的前提下识别语义等价链；最后通过构建全局上下文统计框架，基于从海量真实二进制中提取的链语料库量化每条链的显著性，有效降低由编程风格、编译器或架构共性导致的误报，满足漏洞搜索等高精度需求场景。

看上去很厉害的样子。。。