期刊文献+
任意字段
题名或关键词
题名
关键词
文摘
作者
第一作者
机构
刊名
分类号
参考文献
作者简介
基金资助
栏目信息
共找到10篇文章
< 1 >
每页显示 20 50 100
已选择0
导出题录 引用分析
参考文献
引证文献
 统计分析
检索结果
已选文献
显示方式:
Excel 4.0宏自动化反混淆与家族分类系统
1
作者 李晨光 杨秀璋 彭国军 《网络与信息安全学报》 2024年第3期66-80,共15页
近年来,使用恶意Excel 4.0宏(XLM)文档的攻击迎来了爆发,而XLM代码往往经过复杂的混淆,现有方法或检测系统难以分析海量样本的真实功能。因此,针对恶意样本中使用的各类混淆技术,基于抽象语法树和模拟执行,设计和实现了包含138个宏函数... 近年来,使用恶意Excel 4.0宏(XLM)文档的攻击迎来了爆发,而XLM代码往往经过复杂的混淆,现有方法或检测系统难以分析海量样本的真实功能。因此,针对恶意样本中使用的各类混淆技术,基于抽象语法树和模拟执行,设计和实现了包含138个宏函数处理程序的自动化XLM反混淆与关键威胁指标(IOC,indicators of compromise)提取系统XLMRevealer;在此基础上,根据XLM代码特点提取Word和Token特征,通过特征融合能够捕获多层次细粒度特征,并在XLMRevealer中构造CNN-BiLSTM(convolution neural network-bidirectional long short term memory)模型,从不同维度挖掘家族样本的关联性和完成家族分类。最后,从5个来源构建包含2346个样本的数据集并用于反混淆实验和家族分类实验。实验结果表明,XLMRevealer的反混淆成功率达到71.3%,相比XLMMacroDeobfuscator和SYMBEXCEL工具分别提高了20.8%和15.8%;反混淆效率稳定,平均耗时仅为0.512 s。XLMRevealer对去混淆XLM代码的家族分类准确率高达94.88%,效果优于所有基线模型,有效体现Word和Token特征融合的优势。此外,为探索反混淆对家族分类的影响,并考虑不同家族使用的混淆技术可能有所不同,模型会识别到混淆技术的特征,分别对反混淆前和反混淆后再统一混淆的XLM代码进行实验,家族分类准确率为89.58%、53.61%,证明模型能够学习混淆技术特征,更验证了反混淆对家族分类极大的促进作用。 展开更多
关键词 恶意宏文档 Excel 4.0宏 反混淆 家族分类
下载PDF
基于符号执行的底层虚拟机混淆器反混淆框架 被引量:4
2
作者 肖顺陶 周安民 +2 位作者 刘亮 贾鹏 刘露平 《计算机应用》 CSCD 北大核心 2018年第6期1745-1750,共6页
针对Miasm反混淆框架反混淆后的结果是一张图片,无法反编译恢复程序源码的问题,在对底层虚拟机混淆器(OLLVM)混淆策略和Miasm反混淆思路进行深入学习研究后,提出并实现了一种基于符号执行的OLLVM通用型自动化反混淆框架。首先,利用基本... 针对Miasm反混淆框架反混淆后的结果是一张图片,无法反编译恢复程序源码的问题,在对底层虚拟机混淆器(OLLVM)混淆策略和Miasm反混淆思路进行深入学习研究后,提出并实现了一种基于符号执行的OLLVM通用型自动化反混淆框架。首先,利用基本块识别算法找到混淆程序中有用的基本块和无用块;其次,采用符号执行技术确定各个有用块之间的拓扑关系;然后,直接对基本块汇编代码进行指令修复;最后,得到一个反混淆后的可执行文件。实验结果表明,该框架在保证尽量少的反混淆用时前提下,反混淆后的程序与未混淆源程序的代码相似度为96.7%,能非常好地实现x86架构下C/C++文件的OLLVM反混淆。 展开更多
关键词 Miasm 底层虚拟机混淆器 反混淆 符号执行 指令修复 代码相似度
下载PDF
Generic,efficient,and effective deobfuscation and semantic-aware attack detection for Power Shell scripts 被引量:1
3
作者 Chunlin XIONG Zhenyuan LI +4 位作者 Yan CHEN Tiantian ZHU Jian WANG Hai YANG Wei RUAN 《Frontiers of Information Technology & Electronic Engineering》 SCIE EI CSCD 2022年第3期361-381,共21页
In recent years,Power Shell has increasingly been reported as appearing in a variety of cyber attacks.However,because the PowerShell language is dynamic by design and can construct script fragments at different levels... In recent years,Power Shell has increasingly been reported as appearing in a variety of cyber attacks.However,because the PowerShell language is dynamic by design and can construct script fragments at different levels,state-of-the-art static analysis based Power Shell attack detection approaches are inherently vulnerable to obfuscations.In this paper,we design the first generic,effective,and lightweight deobfuscation approach for PowerShell scripts.To precisely identify the obfuscated script fragments,we define obfuscation based on the differences in the impacts on the abstract syntax trees of PowerShell scripts and propose a novel emulation-based recovery technology.Furthermore,we design the first semantic-aware PowerShell attack detection system that leverages the classic objective-oriented association mining algorithm and newly identifies 31 semantic signatures.The experimental results on 2342 benign samples and 4141 malicious samples show that our deobfuscation method takes less than 0.5 s on average and increases the similarity between the obfuscated and original scripts from 0.5%to 93.2%.By deploying our deobfuscation method,the attack detection rates for Windows Defender and VirusTotal increase substantially from 0.33%and 2.65%to 78.9%and 94.0%,respectively.Moreover,our detection system outperforms both existing tools with a 96.7%true positive rate and a 0%false positive rate on average. 展开更多
关键词 POWERSHELL Abstract syntax tree Obfuscation and deobfuscation Malicious script detection
原文传递
基于动态分析的底层虚拟机混淆器反混淆方法
4
作者 寇宇 王其军 《计算机应用研究》 CSCD 北大核心 2022年第11期3465-3469,3474,共6页
底层虚拟机混淆器(OLLVM)是一个著名的代码混淆工具,除了用于保护商业软件的安全外,也被恶意代码的开发者所利用,以此增加分析难度。为便于安全研究人员对ARM恶意程序进行分析,提出并实现了基于动态分析的OLLVM自动化反混淆方法。对于... 底层虚拟机混淆器(OLLVM)是一个著名的代码混淆工具,除了用于保护商业软件的安全外,也被恶意代码的开发者所利用,以此增加分析难度。为便于安全研究人员对ARM恶意程序进行分析,提出并实现了基于动态分析的OLLVM自动化反混淆方法。对于虚假控制流,根据不透明谓词的内存特征监控内存读写并利用动态污点分析技术识别虚假控制流来完成反混淆;对于控制流平坦化,通过动态运行程序并记录基本块的执行顺序来完成反混淆;同时利用多执行路径构造来提高代码覆盖率,最后通过指令修复还原基本块之间的关系。实验结果表明,该方法可准确消除可执行程序中因混淆产生的条件分支,且反混淆后得到的程序其运行结果与未混淆的程序保持一致,能有效完成对ARM混淆程序的反混淆工作。 展开更多
关键词 反混淆 动态分析 指令修复 底层虚拟机混淆器
下载PDF
Deobfuscating Mobile Malware for Identifying Concealed Behaviors
5
作者 Dongho Lee Geochang Jeon +1 位作者 Sunjun Lee Haehyun Cho 《Computers, Materials & Continua》 SCIE EI 2022年第9期5909-5923,共15页
The smart phone market is continuously increasing and there are more than 6 billion of smart phone users worldwide with the aid of the 5G technology.Among them Android occupies 87%of the market share.Naturally,the wid... The smart phone market is continuously increasing and there are more than 6 billion of smart phone users worldwide with the aid of the 5G technology.Among them Android occupies 87%of the market share.Naturally,the widespread Android smartphones has drawn the attention of the attackers who implement and spread malware.Consequently,currently the number of malware targeting Android mobile phones is ever increasing.Therefore,it is a critical task to find and detect malicious behaviors of malware in a timely manner.However,unfortunately,attackers use a variety of obfuscation techniques for malware to evade or delay detection.When an obfuscation technique such as the class encryption is applied to a malicious application,we cannot obtain any information through a static analysis regarding its malicious behaviors.Hence,we need to rely on the manual,dynamic analysis to find concealed malicious behaviors from obfuscated malware.To avoid malware spreading out in larger scale,we need an automated deobfuscation approach that accurately deobfuscates obfuscated malware so that we can reveal hidden malicious behaviors.In this study,we introduce widely-used obfuscation techniques and propose an effective deobfuscation method,named ARBDroid,for automatically deobfuscating the string encryption,class encryption,and API hiding techniques.Our evaluation results clearly demonstrate that our approach can deobfuscate obfuscated applications based on dynamic analysis results. 展开更多
关键词 ANDROID OBFUSCATION deobfuscation android reversing
下载PDF
基于IDA microcode的控制流反混淆框架设计与实现
6
作者 符笑彬 丁勇 +1 位作者 钟晓雄 郑彦斌 《桂林电子科技大学学报》 2022年第2期107-116,共10页
经O-LLVM混淆后的恶意软件存在控制流混乱、可读性差等分析难题,严重影响了安全人员对其进行逆向分析的质量与效率,因此O-LLVM反混淆已经成为二进制安全研究领域的重要研究方向之一。针对已有的O-LLVM反混淆框架只适用标准混淆器,且所... 经O-LLVM混淆后的恶意软件存在控制流混乱、可读性差等分析难题,严重影响了安全人员对其进行逆向分析的质量与效率,因此O-LLVM反混淆已经成为二进制安全研究领域的重要研究方向之一。针对已有的O-LLVM反混淆框架只适用标准混淆器,且所支持指令集架构单一的问题,提出了兼容定制化混淆的真实块识别算法和复用块分割算法,通过结合中间语言IDA microcode设计与实现了反混淆框架BinDeob。采用中间语言带来了架构无关的优势,因此BinDeob同时支持ARM32、ARM64、x86、x64等多种指令集架构。在C/C++经典混淆基准和公开的高危安全漏洞数据集上的实验表明,经BinDeob反混淆得到的程序与原始未混淆程序的控制流程图相似度平均值为98.9%,优于参考文献中的反混淆框架,具有更出色的性能。另外,将伪代码相似度作为评估指标,原始程序源代码与BinDeob反混淆得到的伪代码相似度平均值为97.6%。 展开更多
关键词 IDA microcode LLVM 反混淆 控制流混淆 逆向工程
下载PDF
基于AST的网页木马解混淆技术
7
作者 项家齐 王轶骏 薛质 《信息安全与通信保密》 2015年第4期88-92,共5页
网页木马是最近几年非常流行的一种恶意代码分发的形式,其目标群体庞大,已经发展为传播最广泛,危害最严重的一种客户端攻击类型,而对网页木马的分析是网页木马研究的重要基础和前提。本文主要关注网页木马为了隐藏自身并提高攻击成功率... 网页木马是最近几年非常流行的一种恶意代码分发的形式,其目标群体庞大,已经发展为传播最广泛,危害最严重的一种客户端攻击类型,而对网页木马的分析是网页木马研究的重要基础和前提。本文主要关注网页木马为了隐藏自身并提高攻击成功率而引入的混淆技术,首先讨论了各种当前的解混淆技术,然后引入了利用抽象语法树的解混淆技术,并实现了一套基于该技术的原型系统,最后使用多种类型的网页测试了原型系统,证明了该技术的有效性。 展开更多
关键词 抽象语法树 解混淆 网页木马 客户端蜜罐
下载PDF
Javascript代码混淆的检测和反混淆应用研究 被引量:2
8
作者 崔莹 《集宁师范学院学报》 2020年第3期7-11,共5页
随着javascript代码混淆技术的迅速发展,让夹杂在WEB应用中恶意脚本逃避检测的能力变得越来越突出,风险隐患越来越大。本文主要分析了当前常见的javascript代码混淆方式,按它们所采用的技术手段尝试对其做了简单的分类,对混淆检测方法... 随着javascript代码混淆技术的迅速发展,让夹杂在WEB应用中恶意脚本逃避检测的能力变得越来越突出,风险隐患越来越大。本文主要分析了当前常见的javascript代码混淆方式,按它们所采用的技术手段尝试对其做了简单的分类,对混淆检测方法提出一些改进。同时基于编译器实现了一个简易的javascript反混淆算法,从测试结果来看它应该能够为Javascript脚本混淆检测的优化提供一定的帮助。 展开更多
关键词 javascirpt反混淆 deobfuscate esprima
下载PDF
基于逆向计算的细粒度污点分析方法 被引量:1
9
作者 屈雪晴 张圣昌 《河北大学学报(自然科学版)》 CAS 北大核心 2019年第4期437-443,共7页
精度是污点分析的核心考虑因素.目前的污点分析方法,包括比特级污点分析的研究中,细粒度逻辑语义会导致精度缺失问题,而精度缺失直接致使“过度污点”现象.本文讨论了现有污点分析算法的局限性,阐述了污点传播过程中产生“过度污点”现... 精度是污点分析的核心考虑因素.目前的污点分析方法,包括比特级污点分析的研究中,细粒度逻辑语义会导致精度缺失问题,而精度缺失直接致使“过度污点”现象.本文讨论了现有污点分析算法的局限性,阐述了污点传播过程中产生“过度污点”现象的原因,并提出一种基于逆向计算的细粒度污点分析方法,通过规定逆向计算规则,考虑语句的语义逻辑,推算污点传播策略.对未混淆代码和混淆代码分别进行污点分析的实验结果表明,相比于传统的污点分析算法,基于逆向计算的污点分析算法对混淆代码能够减少50%的代码冗余,有效地避免了污点的过度传播. 展开更多
关键词 动态污点分析 反混淆代码 逆向计算 过度污点
下载PDF
一种用于Android应用的反控制混淆系统 被引量:1
10
作者 曹宏盛 焦健 李登辉 《计算机应用研究》 CSCD 北大核心 2019年第5期1544-1548,共5页
Android恶意软件中的控制混淆技术,可以增加传统Android应用软件执行路径检测的难度,是目前代码静态分析的主要困难之一。针对该问题进行了研究,并设计系统DOCFDroid用于解决此问题。该系统在预处理阶段获取CFG关系矩阵,使用深度优先查... Android恶意软件中的控制混淆技术,可以增加传统Android应用软件执行路径检测的难度,是目前代码静态分析的主要困难之一。针对该问题进行了研究,并设计系统DOCFDroid用于解决此问题。该系统在预处理阶段获取CFG关系矩阵,使用深度优先查找待分析路径集合;依据用户给定的源点集合和终节点集合得到粗糙路径;然后采用权重筛选的算法,可以有效地获取目标路径集合。在实验阶段以DroidBench 1.2为基础构建测试样本集,验证该方法的有效性。实验结果表明,该方法能有效抵抗控制流混淆带来的干扰,目标路径识别率可达95.31%。 展开更多
关键词 反控制混淆 ANDROID 控制混淆 路径查找
下载PDF
已选择0
导出题录 引用分析
参考文献
引证文献
 统计分析
检索结果
已选文献
上一页 1 下一页 到第
使用帮助 返回顶部