Сборники трудов ИСП РАН


О некоторых ограничениях полносистемного анализа помеченных данных

М.А. Климушенкова (НовГУ, Великий Новгород, Россия)
М.Г. Бакулин (ИСП РАН, Москва, Россия)
В.А. Падарян (ИСП РАН, Москва, Россия, МГУ, Москва, Россия)
П.М. Довгалюк (НовГУ, Великий Новгород, Россия)
Н.И. Фурсова (НовГУ, Великий Новгород, Россия)
И.А. Васильев (НовГУ, Великий Новгород, Россия)

Аннотация

Анализ помеченных данных неоднократно пытались применять для исследования безопасности бинарного кода, но все попытки наталкивались на ряд нерешенных вопросов. В данной работе рассматриваются ограничения анализа помеченных данных на уровне бинарного кода, когда он проводится в рамках всей системы. Предлагается подход, способный преодолеть такие ограничения, как высокие накладные расходы на анализ, разрыв в уровне абстракций бинарного и исходного кода и сложности переноса на другие процессорные архитектуры и ОС. Подход позволяет смягчить негативное влияние недостаточной и избыточной помеченности. В подходе используется полносистемный эмулятор, использующий бинарную трансляцию. Возможности анализа помеченных данных обеспечиваются тремя встроенными в эмулятор механизмами: детерминированным воспроизведением, плагинами инстроспекции ВМ и инструментированием промежуточного представления. Приводятся экспериментальные результаты, показывающие лучшую скорость работы в сравнении с аналогичными программными инструментами.

Ключевые слова

анализ помеченных данных, динамический анализ, QEMU

Издание

Труды Института системного программирования РАН, том 28, вып. 6, 2016, стр. 11-26.

ISSN 2220-6426 (Online), ISSN 2079-8156 (Print).

DOI: 10.15514/ISPRAS-2016-28(6)-1

Полный текст статьи в формате pdf Вернуться к содержанию тома