目錄

第1章緒論/1

1.1引言1

1.2典型安全問題3

1.2.1惡意軟件3

1.2.2軟件漏洞9

1.2.3軟件後門11

1.3軟件安全性分析的目標12

1.4主要方法與技術13

1.4.1反彙編與反編譯14

1.4.2程序調試15

1.4.3程序切片17

1.4.4污點傳播分析18

1.4.5符號執行19

1.4.6模糊測試20

1.5主要分析應用21

1.5.1惡意軟件分析21

1.5.2網絡協議逆向分析21

1.5.3軟件漏洞分析與利用22

1.6本書的組織結構23

1.6.1內容範圍23

1.6.2本書的組織23

1.7其他說明24

參考文獻24

第2章基礎知識/25

2.1處理器硬件架構基礎25

2.1.1CPU結構介紹25

2.1.2保護模式28

2.1.3特權級29

2.1.4中斷處理與異常處理30

〖1〗軟件安全分析與應用目錄[3]〖3〗2.1.5調試支持32

2.1.6虛擬化支持34

2.2反彙編及對抗技術35

2.2.1彙編語言35

2.2.2反彙編39

2.2.3代碼混淆40

2.2.4反調試42

2.3Windows操作繫統基礎44

2.3.1PE文件結構44

2.3.2進程管理51

2.3.3線程管理52

2.3.4內存管理54

2.3.5對像與句柄管理57

2.3.6文件繫統59

2.4小結59

參考文獻60

第3章軟件安全分析基礎工具/61

3.1靜態分析工具61

3.1.1IDA Pro61

3.1.2Udis8665

3.1.3Capstone67

3.1.4PEiD69

3.1.5010Editor70

3.2動態分析工具75

3.2.1Process Monitor75

3.2.2Wireshark78

3.2.3OllyDbg80

3.2.4WinDbg82

3.2.5Pin88

3.3虛擬化輔助分析平臺89

3.3.1VMWare Workstation89

3.3.2VirtualBox93

3.3.3QEMU94

3.3.4Xen97

3.4小結97

參考文獻98

第4章程序切片/99

4.1概述99

4.2程序切片初探100

4.2.1切片相關基礎知識101

4.2.2切片的基本原理109

4.3靜態程序切片111

4.3.1基於數據流方程的切片方法111

4.3.2基於圖可達性算法的切片方法115

4.4動態程序切片116

4.4.1基於程序依賴圖的動態切片方法117

4.4.2基於動態依賴圖的動態切片方法120

4.5小結124

參考文獻125

第5章符號執行/126

5.1符號執行基本模型126

5.1.1基本思想126

5.1.2程序語言定義127

5.1.3符號執行中的程序語義127

5.1.4符號執行樹129

5.1.5約束求解130

5.1.6符號執行實例133

5.2動態符號執行技術136

5.2.1基本思想136

5.2.2動態符號執行實例137

5.2.3動態符號執行工具SAGE142

5.2.4動態符號執行技術中的關鍵問題150

5.3並行符號執行技術160

5.3.1基本思想160

5.3.2並行繫統SCORE161

5.3.3並行繫統Cloud9164

5.3.4並行繫統SAGEN169

5.4選擇符號執行技術174

5.4.1基本思想174

5.4.2選擇符號執行實例175

5.4.3關鍵問題及解決方案177

5.5符號執行應用實例179

5.5.1KLEE179

5.5.2應用實例180

參考文獻181

第6章模糊測試/183

6.1概述183

6.2基本原理與組成184

6.2.1基本原理184

6.2.2繫統組成186

6.2.3工作模式188

6.3基礎方法與技術190

6.3.1數據生成方法190

6.3.2環境控制技術194

6.3.3狀態監控技術198

6.4模糊測試優化方法200

6.4.1灰盒模糊測試200

6.4.2白盒模糊測試201

6.4.3基於反饋的模糊測試202

6.5分布式模糊測試203

6.5.1分布式控制結構204

6.5.2分布式模糊測試策略206

6.5.3動態適應機制207

6.6典型工具與案例207

6.6.1Peach208

6.6.2Sulley211

參考文獻213

第7章污點傳播分析/214

7.1概述214

7.1.1發展簡史214

7.1.2應用領域215

7.2基本原理217

7.3主要方法218

7.3.1污點源識別219

7.3.2污點內存映射220

7.3.3污點動態跟蹤222

7.3.4傳播規則設計225

7.3.5污點誤用檢測228

7.4典型繫統實現229

7.4.1TaintCheck繫統229

7.4.2TEMU繫統231

7.4.3AOTA繫統233

7.5典型實例分析235

7.5.1分析環境搭建235

7.5.2污點傳播過程236

7.5.3污點回溯分析237

7.6總結239

參考文獻239

第8章惡意代碼檢測與分析/241

8.1惡意代碼分析基礎241

8.1.1惡意代碼分類241

8.1.2惡意代碼分析的目的243

8.1.3典型分析流程244

8.1.4軟件漏洞利用及分析245

8.2靜態分析247

8.2.1殺毒軟件掃描247

8.2.2文件類型確定247

8.2.3文件哈希計算248

8.2.4字符串信息提取251

8.2.數據提取252

8.2.6混淆代碼識別254

8.2.7代碼反彙編257

8.3動態分析259

8.3.1動態分析環境構建259

8.3.2動態行為分析262

8.3.3動態調試分析268

8.3.4反虛擬化分析對抗272

8.3.5反自動化分析對抗276

8.4實際案例分析278

8.5小結288

參考文獻289

第9章軟件漏洞挖掘與分析/290

9.1軟件漏洞基礎知識290

9.1.1概述290

9.1.2軟件漏洞典型類型292

9.1.3軟件漏洞利用基礎知識297

9.1.4軟件漏洞防護機制基礎知識300

9.2軟件漏洞機理分析301

9.2.1軟件漏洞脆弱點分析302

9.2.2軟件漏洞路徑分析305

9.2.3軟件漏洞內存布局分析309

9.2.4軟件漏洞分析實例310

9.3軟件漏洞利用312

9.3.1漏洞攻擊鏈構造312

9.3.2漏洞攻擊路徑觸發314

9.3.3保護機制繞過316

9.4小結317

參考文獻318

第10章網絡協議逆向分析/319

10.1網絡協議逆向概述319

10.2協議消息格式逆向320

10.2.1字段劃分322

10.2.2字段間關繫的識別331

10.2.3字段功能語義恢復336

10.3協議狀態機恢復341

10.3.1協議消息類型識別341

10.3.2狀態機推斷和化簡344

10.4小結350

參考文獻351

第11章移動智能終端應用軟件安全性分析/352

11.1Android繫統安全框架介紹352

11.1.1權限機制352

11.1.2沙箱隔離355

11.2Android軟件典型安全問題355

11.2.1隱私竊取355

11.2.2應用重打包356

11.2.3組件安全問題356

11.3靜態分析361

11.3.1權限分析361

11.3.2組件分析362

11.3.3代碼分析366

11.3.4重打包應用檢測381

11.4動態分析388

11.4.1數據流分析389

11.4.2數據流分析典型工具390

11.4.3動態行為分析392

11.4.4動態行為分析典型工具394

11.5實際案例分析401

11.5.1應用軟件實現安全性分析401

11.5.2惡意應用分析404

11.6小結412

參考文獻413

序

網絡空間安全已是世界各國關注的重要戰略問題，各國政府、學術界、產業界都投入了大量的資源來改善網絡空間安全狀況，發展網絡空間安全防護手段。為適應網絡技術和應用的快速發展，各種新的安全技術、安全產品、安全方案層出不窮。當前網絡繫統中，從不同層次、不同角度實現的安全產品已廣泛應用，但從近年來曝光的各類安全事件來看，各種攻擊手段仍然防不勝防。究其原因，軟件漏洞及其利用是攻擊成功的關鍵，也是繫統防御的難點。

“千丈之堤，以螻蟻之穴潰；百尺之室，以突隙之煙焚。”縱然我們有完美的安全模型和設計方案，但在這些方案的實現中，開發人員的疏忽或個別技術的缺陷都可能引入軟件漏洞，讓整個方案失效，甚至直接威脅整個繫統的安全。2010年，震網蠕蟲利用7個軟件漏洞成功突破了伊朗核電站的物理隔離網絡，造成嚴重破壞；2011年，攻擊者利用漏洞成功滲透進入了著名的安全公司RSA公司的內部網絡，並竊取了大量敏感信息；2015年，以擅長攻擊著稱的黑客團隊Hacking Team的內部網絡遭受攻擊，大量的漏洞利用代碼、內部研討資料等敏感數據洩露。這些案例都給我們敲響了警鐘，無論多麼安全的防護方案都有可能因為“小小的”軟件缺陷而被徹底突破。

近年來，各類安全事件的曝光讓人們越來越關注軟件的安全性問題。各類軟件漏洞挖掘的高手也成為業界的寵兒，但隨著軟件復雜性的增加以及漏洞和漏洞利用模式的變化，僅僅依賴於少量有個人天賦的高手已經遠遠不能滿足現實的需求。利用先進的技術方法來解決軟件安全問題，一直是學術界、產業界共同關注的焦點問題，也是當前的一大難點問題。

2016年，美國國防部組織的DARPA CGC比賽(Cyber
Grand Challenge)更是將軟件漏洞的自動化發掘、分析、利用、防御技術研究推向高潮，DARPA組織該比賽的初衷之一也是為了吸引更多的社會資源關注、參與該問題的技術研究工作。這次比賽吸引了眾多高校、科研機構和企業團隊的關注。終，來自卡耐基·梅隆大學的ForAllSecure團隊獲得。雖然CGC比賽中的場景設定與實際情況有很大差距，但這次比賽驗證了自動化攻防的技術可能性，代表了未來的技術發展方向。隨著未來軟件技術的發展和廣泛應用，軟件安全問題將越來越突出，因此，發展新的軟件安全技術是未來的主要發展方向。

我國是軟件產業大國，也是軟件應用大國。在軟件安全方面面臨的問〖1〗軟件安全分析與應用題尤為突出。究其原因，一方面是由於我國大量的軟件產品，尤其是操作繫統、數據庫等基礎軟件產品依賴於國外廠商，我們不得不面對軟件廠商不可信的現實問題；但更重要的是我們目前在軟件產品安全方面的審查能力仍很薄弱，缺乏有效的技術手段對軟件產品的安全問題實施監管。針對軟件安全問題，我國相關部門和機構做了大量的部署，取得了一繫列的成果和突破。在軟件安全檢測、軟件漏洞分析等方面形成了一繫列成果，大量成果也已經成功轉化，為提升我國網絡空間安全保障能力發揮了重要作用。

但軟件安全問題是典型的對抗性問題，面對我國軟件產業的快速發展，當前軟件安全技術和成果仍遠無法滿足現實的需求。高技術對抗需要高技術手段支撐，從2016年的DARPA CGC比賽可以看出，污點傳播分析、符號執行等以前主要在學術研究工作中采用的方法和技術已逐步可支撐一繫列軟件安全分析實踐工作，如何進一步推進相關方法和技術的實用化是當前學術界和工業界共同關注的焦點問題。

本書作者蘇璞睿研究員及其團隊十多年來一直從事軟件安全研究工作，曾主持了國家863計劃、國家自然科學基金、國家科技支撐計劃等一繫列國家重點任務的攻關工作，在軟件安全方面取得了一繫列技術突破，在動態污點傳播分析、惡意軟件分析與檢測、軟件漏洞分析與利用等方面有重大創新與積累，主持研制了惡意軟件分析檢測繫統、軟件漏洞分析繫統等多項成果，在軟件安全方面具有豐富的研究和實踐經驗。

本書由他和他的團隊根據多年的研究積累和實踐凝練而成，從基本概念、方法原理、重要工具繫統和關鍵應用場景等不同層面對目前國內外的軟件安全分析相關技術和方法進行了繫統的總結和梳理。本書兼顧了學術研究前沿技術方法和相關技術方法在工程實踐中的應用，既剖析了軟件安全分析中常用的動態污點分析、符號執行等基礎方法，也結合真實應用場景和實際案例，闡述了相關技術方法在軟件漏洞分析與利用、惡意軟件分析、協議逆向分析等多個具體問題中的應用。

本書是軟件安全分析方面一本難得的理論與實踐緊密結合的書籍，我願意把它推薦給從事軟件安全研究與實踐的科研人員、研究生和技術人員。

2017年9月於北京

前言

軟件的應用已經滲透到社會的方方面面，承載著重要的社會價值。軟件開發過程無法做到完美，軟件問題與漏洞難以避免，軟件也成為攻擊者的重要目標。當前曝光的各類網絡安全事件中，絕大部分都與軟件安全問題相關，軟件安全問題已成為關乎個人利益、社會穩定、國家安全的重要問題。

軟件安全問題中的軟件漏洞和惡意軟件是兩大經典問題，前者是由於軟件設計開發過程中的缺陷帶來的安全隱患，後者則是攻擊者有意設計的具有破壞性的軟件工具。軟件自身越來越復雜，規模越來越龐大，軟件漏洞模式、利用方式也越來越多樣化，這就對軟件漏洞的發現、分析與評估等工作帶來了一繫列的挑戰；而惡意軟件自身的技術也在不斷發展，出現了各種自我保護技術、隱蔽通信手段等，這也對惡意軟件的分析和處置提出了新的要求。無論是軟件漏洞分析還是惡意軟件分析，軟件自身的復雜性已經超越一般技術人員的分析能力和理解能力，復雜軟件的深度分析能力是軟件漏洞分析和惡意軟件分析共同面臨的瓶頸問題。

如何提高對復雜軟件的深度分析能力，並針對具體的應用場景，設計相關的分析、檢測方法，一直是軟件分析領域乃至信息安全領域關注的焦點問題。特別是考慮到很多軟件繫統無法獲得源代碼的現實，如何實現不依賴於源代碼的軟件深度分析是近年來的研究熱點。

面向軟件安全問題，本書總結了一繫列軟件分析基礎性方法，並重點介紹了軟件安全分析工作中的典型場景和相關技術手段。考慮到技術內容的完整性，書中也對當前常見的成熟工具（如反彙編工具、調試工具等）和相關基礎知識（如Intel指令集、操作繫統內核等）進行了簡單介紹。

本書的寫作主要由中國科學院軟件研究所可信計算與信息保障實驗室（TCA實驗室）的信息對抗與網絡保障團隊共同完成，本書的撰寫也是該團隊對相關技術方法和研究進展的總結。該團隊於2004年由馮登國研究員創建，後來由我組織。2004年底，團隊開始關注基於硬件虛擬化的惡意軟件分析；2005年底，組織開發了個基於開源繫統QEMU的惡意軟件分析繫統，當時命名為WooKon（取音“悟空”）；2010年，面向惡意軟件檢測需求，在WooKon繫統的基礎上推出了基於硬件虛擬化的APT（Advanced Persistent Threat）攻擊檢測引擎，並在多個部門和機構成功應用，2017年我們根據新的需求與新的形勢又推出了金剛惡意軟件智能分析繫統；從2006年起，開始關注將動態污點分析應用於惡意軟件分析和漏洞分析的相關研究，〖1〗軟件安全分析與應用前言[3]〖3〗經過多年研發和逐步完善，2010年研制了套基於硬件虛擬化的動態污點分析繫統——AOTA繫統（ApplicationOriented Analysis System），並成功應用於漏洞利用自動生成研究；2013年構建了一個多樣性漏洞利用自動生成繫統——PolyAEG繫統。

我們的工作也得到了一繫列國家科技項目的支持。團隊在初建立的很長時間內沒有得到相關項目的支持，在此要感謝時任信息安全國家重點實驗室主任馮登國研究員的大力支持，保證了團隊研究工作的持續發展。2006年團隊的工作獲得了個國家863計劃項目“惡意代碼機理分析與特征提取技術研究”，此後得到了國家自然科學基金、國家科技支撐計劃、國家信息安全產業化專項等一繫列項目的支持，也在相關項目的支持下完成了從基礎方法、關鍵技術、原型繫統到成果轉化的科研過程。

軟件分析理論博大精深，軟件安全問題錯綜復雜，因作者能力和精力所限，難於對相關技術和方法進行全面、繫統的總結。因此，本書主要對使用較多的程序切片、污點分析、模糊測試、符號執行等方法進行了介紹，並對惡意軟件分析、協議逆向分析、軟件漏洞分析、Android應用安全性分析等方法和技術進行了總結。

團隊多位同事和同學參與了本書的寫作或給予了支持和幫助。第1章黃樺烽提供了一繫列案例素材；第2、3章由黃樺烽主要負責編寫；第4章由闫佳博士主要負責編寫；第5章由王衍豪博士主要負責編寫，賈相堃博士負責修改校對；第6章由聶楚江博士主要負責編寫；第7章由和亮博士主要負責編寫；第8章主要由應凌雲博士負責編寫，聶眉寧博士協助提供素材；第9章主要由楊軼博士負責編寫，闫佳博士協助修改校對；第10章由闫佳博士負責編寫，闫佳博士協助修改校對；第11章由應凌雲博士、谷雅聰博士、路曄綿博士及婧二霞共同完成。

本書的編寫得到了國家自然科學基金項目“安全協議實現的逆向分析與安全評估方法研究”（NSFC： 61572483）、“面向應用商店的移動智能終端惡意軟件檢測關鍵技術研究”（NSFC： 61502468）、“虛擬化混淆代碼逆向分析方法研究”（NSFC： 61502469）等項目的支持，在此表示感謝！

本書的編寫得到了馮登國研究員的指導和幫助，馮老師不僅對書稿內容的組織、編寫大綱等給予了指導，還審閱了全部書稿，提出了寶貴的修改意見。同時，本書終得以出版，與馮老師長期對我們團隊發展的支持是分不開的，在此對馮老師長期的支持和幫助表示衷心感謝！

多位專家、同行的真知灼見也對本書的形成提供了重要參考，在此一並表示感謝！另外，本書初稿曾作為中國科學院大學2016年春季課程講義，課上多位同學也對講義提出了寶貴的修改意見，在此一並表示感謝！

由於本書涉及內容較多，編寫時間倉促，書中難免存在疏漏和不足之處，懇請廣大讀者提出寶貴的意見和建議，以便我們不斷改進和完善本書的內容。

蘇璞睿

於中國科學院軟件研究所

2017年8月