On the Automatic Analysis of the Practical Resistance of Obfusting Transformations

Borisov, Petr Dmitrievich; Косолапов, Юрий Владимирович

doi:10.18255/1818-1015-2019-3-317-331

Cited by 3 publications

(8 citation statements)

References 24 publications

Supporting

Mentioning

Contrasting

Unclassified

Order By: Relevance

“…В [11] предложена схема нахождения характеристик символьного исполнения, которые предполагается использовать для оценки эффективности обфусцирующих преобразований. В этом разделе кратко описывается эта схема, отмечаются некоторые особенности, связанные с шагами трансляции машинного кода в биткод LLVM, а также описывается упрощенная схема.…”

Section: схемы получения характеристикunclassified

“…В соответствии с моделью [11], программа проходит следующие шаги: 1) компиляция с помощью обфусцирующего компилятора Hikari [16] с различными опциями обфусцирующих преобразований (выбраны 10 различных обфусцирующих преобразований), а также компиляция без применения преобразований; 2) построение графа потока выполнения скомпилированной программы с помощью инструмента mcsema-disass [17]; 3) трансляция полученного на предыдущем шаге представления в биткод LLVM c помощью инструмента mcsema-lift [17]; 4) оптимизация полученного биткода с помощью оптимизатора opt из состава LLVM; 5) символьное исполнение полученных версий биткода с помощью символьного интерпретатора KLEE [18]; 6) обработка полученных характеристик символьного исполнения. Последовательность шагов показана на рис.…”

Section: расширенная схемаunclassified

“…В [11] предложена схема оценки стойкости запутывающих преобразований, основанная на сравнении признаков подобия, вычисленных по характеристикам программ. Основным блоком этой схемы является блок оценки стойкости, который делает вывод о сходстве программ.…”

Section: Introductionunclassified

“…Для этого необходимо иметь характеристики программы, описывающие ее с разных сторон анализа: при статическом анализе (структура графа потока управления, полнота дизассемблирования, понятность кода программы и другие) и при динамическом анализе (поведение программы во время выполнения). Для схемы из [11] набор характеристик, предложенных в [4][5][6][7][8], а также характеристик из области понимания программ [9] может быть построен путем статического анализа программы. В то же время собрать характеристики программы с помощью динамического анализа сложнее, так как требуется запустить программу и проанализировать ее поведение, которое может зависеть от среды исполнения и/или входных параметров.…”

Section: Introductionunclassified

“…Целью настоящей работы является, с одной стороны, получение и оценка характеристик символьного исполнения обфусцированной/деобфусцированной/исходной программ, с другой -оценка схемы получения характеристик символьного исполнения программ, построенной в [11]. Для оценки схемы рассматривается ее упрощенная версия, в которой отсутствуют шаги компиляции в бинарное представление и трансляции обратно в биткод LLVM [14].…”

Section: Introductionunclassified

See 4 more Smart Citations

On Characteristics of Symbolic Execution in the Problem of Assessing the Quality of Obfuscating Transformations

Borisov

Косолапов

2021

Model. anal. inf. sist.

Self Cite

View full text Add to dashboard Cite

Obfuscation is used to protect programs from analysis and reverse engineering. There are theoretically effective and resistant obfuscation methods, but most of them are not implemented in practice yet. The main reasons are large overhead for the execution of obfuscated code and the limitation of application only to a specific class of programs. On the other hand, a large number of obfuscation methods have been developed that are applied in practice. The existing approaches to the assessment of such obfuscation methods are based mainly on the static characteristics of programs. Therefore, the comprehensive (taking into account the dynamic characteristics of programs) justification of their effectiveness and resistance is a relevant task. It seems that such a justification can be made using machine learning methods, based on feature vectors that describe both static and dynamic characteristics of programs. In this paper, it is proposed to build such a vector on the basis of characteristics of two compared programs: the original and obfuscated, original and deobfuscated, obfuscated and deobfuscated. In order to obtain the dynamic characteristics of the program, a scheme based on a symbolic execution is constructed and presented in this paper. The choice of the symbolic execution is justified by the fact that such characteristics can describe the difficulty of comprehension of the program in dynamic analysis. The paper proposes two implementations of the scheme: extended and simplified. The extended scheme is closer to the process of analyzing a program by an analyst, since it includes the steps of disassembly and translation into intermediate code, while in the simplified scheme these steps are excluded. In order to identify the characteristics of symbolic execution that are suitable for assessing the effectiveness and resistance of obfuscation based on machine learning methods, experiments with the developed schemes were carried out. Based on the obtained results, a set of suitable characteristics is determined.

show abstract

Section: схемы получения характеристикunclassified

Section: расширенная схемаunclassified

Section: Introductionunclassified

See 3 more Smart Citations

On Characteristics of Symbolic Execution in the Problem of Assessing the Quality of Obfuscating Transformations

Borisov

Косолапов

2021

Model. anal. inf. sist.

Self Cite

View full text Add to dashboard Cite

show abstract

Similarity Features For The Evaluation Of Obfuscation Effectiveness

Kosolapov

Borisov

2020

2020 International Conference on Decision Aid Sciences and Application (DASA)

View full text Add to dashboard Cite

On the Detection of Exploitation of Vulnerabilities Leading to the Execution of a Malicious Code

Косолапов

2020

Model. anal. inf. sist.

Self Cite

View full text Add to dashboard Cite

Software protection from exploitation of possible unknown vulnerabilities can be performed both by searching (for example, using symbolic execution) and subsequent elimination of the vulnerabilities and by using detection and / or intrusion prevention systems. In the latter case, this problem is usually solved by forming a profile of a normal behavior and deviation from normal behavior over a predetermined threshold is regarded as an anomaly or an attack. In this paper, the task is to protect a given software P from exploiting unknown vulnerabilities. For this aim a method is proposed for constructing a profile of the normal execution of the program P, in which, in addition to a set of legal chains of system and library functions, it is proposed to take into account the distances between adjacent function calls. At the same time, a profile is formed for each program. It is assumed that taking into account the distances between function calls will reveal shell code execution using system and / or library function calls. An algorithm and a system for detecting abnormal code execution are proposed. The work carried out experiments in the case when P is the FireFox browser. During the experiments the possibility of applying the developed algorithm to identify abnormal behavior when launching publicly available exploits was investigated.

show abstract

On the Automatic Analysis of the Practical Resistance of Obfusting Transformations

Cited by 3 publications

References 24 publications

On Characteristics of Symbolic Execution in the Problem of Assessing the Quality of Obfuscating Transformations

On Characteristics of Symbolic Execution in the Problem of Assessing the Quality of Obfuscating Transformations

Similarity Features For The Evaluation Of Obfuscation Effectiveness

On the Detection of Exploitation of Vulnerabilities Leading to the Execution of a Malicious Code

Contact Info

Product

Resources

About