跨平台物联网漏洞挖掘算法评估框架设计与实现ACFG提取

最新推荐文章于 2025-04-10 18:04:34 发布
最新推荐文章于 2025-04-10 18:04:34 发布
阅读量1k 收藏 15
点赞数 38
分类专栏: 漏洞挖掘 文章标签: 网络安全 python 漏洞挖掘 物联网 IDA 项目报告 逆向
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/XLYcmy/article/details/145215071
版权

3.2.1 ACFG提取

收集到的数据需要进行预处理以便于神经网络的训练,此处对应我们进行的ACFG的提取。

ACFG的提取方法我们采用和Genius相同方法,大致提取ACFG的过程如下:

  1. 对给定的源代码进行语法分析,生成语法树。
  2. 对语法树进行遍历,提取出函数、变量、控制语句等信息,并构建AST(抽象语法树)。
  3. 对AST进行数据流分析,确定每个变量在程序执行过程中的值和使用情况。
  4. 在数据流分析的基础上,构建CFG(控制流图),表示程序中各个控制语句之间的依赖关系。
  5. 将CFG转化为ACFG(抽象控制流图),其中每个节点表示一个代码块,每个边表示控制流经过的条件和可能的路径。ACFG可以用于代码的优化和分析。

提取ACFG的过程是一个复杂的过程,需要对源代码进行多次分析和转换,以确保提取出的ACFG能够准确地反映出程序的控制流程。

我们利用交互式反汇编器专业版(Interactive Disassembler Professional)来进行ACFG的提取。它是最棒的一个静态反编译软件,为众多0day世界的成员和ShellCode安全分析人士不可缺少的利器,是一款交互式的,可编程的,可扩展的,多处理器的,交叉Windows或Linux WinCE MacOS平台主机来分析程序,被公认为最好的逆向工程利器,是分析敌意代码的标准并让其自身迅速成为攻击研究领域的重要工具,支持数十种CPU指令集其中包括Intel x86x64MIPSPowerPCARMZ80,68000,c8051等等。

实验进行环境为Python2.7。

因为IDA6.8版本的IDApython功能尚不完全,因此事先需要我们手动进行配置,在此不再赘述。

这是我们设计的ACFG提取的脚本,srtp.py:

# -*- coding: utf-8 -*-

import os

import re



# -*- coding: utf-8 -*-

import os

import re



i = 1

while i < 101 :

    # 执行jmeter脚本

    cmd = "C:\\Users\\security\\Desktop\\IDA_6.8\\idaq.exe -c -A -S\"C:\\Users\\security\\" \

          "Desktop\\Gencoding-master\\Gencoding-master\\raw-feature-extractor\\preprocessing_ida.py " \

           "--path  C:\\Users\\security\\Desktop\\test\" data_set/"+str(i)

其中使用的核心脚本函数为preprocessing_ida.py:

from func import *

from raw_graphs import *

from idc import *

import os

import argparse



def parse_command():

   parser = argparse.ArgumentParser(description='Process some integers.')

   parser.add_argument("--path", type=str, help="The directory where to store the generated .ida file")

   args = parser.parse_args()

   return args



if __name__ == '__main__':



   args = parse_command()

   #path = args.path

   path = idc.ARGV[2]

   analysis_flags = idc.GetShortPrm(idc.INF_START_AF)

   analysis_flags &= ~idc.AF_IMMOFF

   # turn off "automatically make offset" heuristic

   idc.SetShortPrm(idc.INF_START_AF, analysis_flags)

   idaapi.autoWait()

   cfgs = get_func_cfgs_c(FirstSeg())

   binary_name = idc.GetInputFile() + '.ida'

   fullpath = os.path.join(path, binary_name)

   pickle.dump(cfgs, open(fullpath,'w'))

   print binary_name

   idc.Exit(0)

这是最终提取出的100个ACFG:

在提取ACFG的时候,第81个文件无法正常进行,对其单独进行提取的时候,会弹出如下警告:

采用64位的IDA后,可以成功实现提取。

至此,ACFG的提取过程结束,对Gemini复现的初步探索得以实现。

跨平台物联网漏洞挖掘算法评估框架设计实现前期项目研究训练
XLYcmy的博客
01-24 540
一开始训练的时候,我们进行了多种尝试,但是实现效率一直不太理想,在和老师以及学长讨论后,认为我们主机的硬件设施相对简陋,无法正确进行实验,因此,在老师的帮助下,我们获得了部分实验室服务器的权限,训练得以正常进行。需要进行数据的划分,即将预处理后的数据分为训练集、验证集和测试集,接着我们使用训练集对神经网络进行训练,不断调整网络的参数,以提高网络的准确性。在经过多次训练之后,最后一次训练所需要耗费的时间并不长,原因是服务器的硬件以及之前对数据进行了预处理。至此,训练部分复现完毕。
跨平台物联网漏洞挖掘算法评估框架设计实现前期项目研究进一步分析
XLYcmy的博客
01-23 533
我们可以发现这样提取出的ACFG信息太过冗余,Gemini后续训练以及评估所需要的信息隐藏其中不便发现,对之后的训练和评估十分不利,这提醒我们需要对ACFG的信息进行进一步的预处理。从文件内容可以看出此时我们所得到的信息已经打好标签,剔除了我们不需要的冗余信息,这为我们下一步所需要进行的训练和评估十分有利。采用新的脚本函数重新对这100个固件进行分析提取,在经过一段时间后,最终以json文件形式保存下来。到此,ACFG提取工作算是圆满结束了,为之后的训练和评估的原料和基石已经完成。
跨平台物联网漏洞挖掘算法评估框架设计实现前期项目GMN之神经网络模型搭建训练
XLYcmy的博客
01-25 723
网络的传播层对图中结点接收的图内信息、图间比较信息进行了聚合和迭代,尝试得到合适的结点向量,使得相似的结点在向量空间内的距离大于相离的结点。而聚合器负责将图内的这些结点向量表示的信息进行聚合,得到合适的图嵌入,使得相似图的嵌入距离较小,结构差距较大的图的嵌入距离较大。进行加权求和,利用Sigmoid函数的S形状正负无穷趋于饱和的性质,对结点向量中数值较小的维度进行限制过滤,保留数值较大的维度,从而尽可能过滤掉无关信息。所在图中的邻边邻接结点的信息传播,还考虑了另一图中所有结点结点。
跨平台物联网漏洞挖掘算法评估框架设计实现前期项目研究总结
XLYcmy的博客
01-22 368
之后,随着项目的进行,在寒假的时候,经过学长和老师的交流,鉴于Genius方法落后以及效率低下等问题,我们将Genius仅作为前期熟悉物联网漏洞挖掘技术的敲门砖,之后利用在Genius时掌握的ACFG提取技术作为基础,实现对Gemini和Gmn的复现。(2)针对跨架构下的二进制程序,利用逆向工具提取为图、抽象语法树等中间语言,对于不同中间语言,选择合适的深度学习方法提取出中间语言数据结构的特征,构建基于代码模式的漏洞挖掘模型。小组成员定期进行交流。首先需要大量的源代码和对应的汇编代码作为训练数据。
跨平台物联网漏洞挖掘算法评估框架设计实现前期项目GMN之总结和不足
XLYcmy的博客
01-26 332
因为Genius提取固件的ida文件时使用的环境是Python2下的pickle模块,而GMN的环境为python3,其pickle模块的方法也有所变化。成功读取之后则使用了跟Gemini同样的方法,提取出GMN所需要的ACFG的特征向量及函数名等信息,将其转化为了json格式的文件以便后续处理。我们分析是由于GMN模型的神经网络超参数并未设置到最优导致的,对于超参数的优化也是我们后续工作要改进的地方之一。在服务器上运行十二个小时完成了五十万轮的迭代,最终得到了较好的模型结果。
基于跨架构算法的高效物联网漏洞挖掘系统 跨架构高效物联网漏洞挖掘算法 数据集构建 下
XLYcmy的博客
04-02 1237
IDA PythonIDA的一款插件,将pythonIDA结合起来,利用python语言就可以更加自动化的分析程序,也可以通过插件来调用IDA对固件进行分析和检测。固件检测重点指检测平台采用模板式方式对固件特定内容进行自动化、高效率匹配检测,如元信息提取、指定文件分析、开源或已知组件漏洞关联检测等功能,其特点是“呆板式”、高自动化、高效率检测,换而言之,平台“模板”以外、固件“特定”内容以外的固件无法检测,当然没有绝对的固件“检测”,很多厂商提供的固件检测产品定会附带部分固件分析功能,侧重点不同而已。
体系自适应的物联网漏洞挖掘系统——体系自适应物联网漏洞挖掘算法:数据集构建之架构检测
XLYcmy的博客
02-11 838
IDAPythonIDA的一款插件,将pythonIDA结合起来,利用python语言就可以更加自动化的分析程序,也可以通过插件来调用IDA对固件进行分析和检测。固件检测重点指检测平台采用模板式方式对固件特定内容进行自动化、高效率匹配检测,如元信息提取、指定文件分析、开源或已知组件漏洞关联检测等功能,其特点是“呆板式”、高自动化、高效率检测,换而言之,平台“模板”以外、固件“特定”内容以外的固件无法检测,当然没有绝对的固件“检测”,很多厂商提供的固件检测产品定会附带部分固件分析功能,侧重点不同而已。
Neural Network-based Graph Embedding for Cross-Platform Binary Code Similarity Detection 超精简全文论文笔记
2301_77729899的博客
04-01 851
2017年CSS会议文章,提出了基于神经网络的跨平台二进制代码检测方法
VulHawk Cross-architecture Vulnerability Detection with Entropy-based Binary Code Search 论文笔记
菊花的老窝
03-21 711
目的:对不同架构、不同编译器、不同优化级别编译的 IoT 固件映像进行二进制代码搜索来识别代码重用提出了一种新的中间表示函数模型,是一种用于跨体系结构二进制代码搜索的体系结构不确定模型将二进制代码提升为 IR,通过补充隐式操作数和删除冗余指令来保留二进制函数的主要语言使用 NLP 和卷积生成函数嵌入将编译器、架构和优化级别的组合称为一个文件环境,采用 divide-and-conquer 策略将CN2C_N^2CN2​个跨文件环境场景的相似性问题转化为N−1N-1N−。
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告
weixin_59086772的博客
10-18 8671
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
R3打卡——pytorch实现心脏病预测
qq_52649952的博客
04-07 1452
1.​环境配置数据加载检查GPU可用性并设置训练设备使用Pandas加载心脏病数据集heart.csv数据集包含13个生理特征和1个目标变量(是否患病)样本总量:303条(示例数据未展示具体维度)​2.数据预处理特征标准化:使用对特征列进行Z-score归一化数据集划分:训练集90%(约273条)测试集10%(约30条)数据张量化:将Numpy数组转换为PyTorch Tensor创建DataLoader:批量大小64未启用shuffle(可能影响训练效果)
Python构建去中心化广告平台——区块链驱动的未来营销新模式
Echo_Wish
04-07 932
用户隐私泄露、广告投放的黑箱操作、中心化平台的过度控制,使得广告生态亟需去中心化的变革。去中心化广告不仅让广告商掌控自己的预算,也让用户能从观看广告中获益,最终实现更健康的广告经济。同时,可以修改广告状态,使广告下架或重新激活。让广告交易透明化,广告商用户直接互动,从而优化广告投放体验。构建一个去中心化广告平台,让广告市场更加透明、公平、高效。,避免中心化服务器的宕机风险,同时保证内容不被随意修改。让用户观看广告后获得奖励,提高广告互动率。,这些都是未来广告去中心化发展的方向。
人脸考勤管理一体化系统(人脸识别系统,签到打卡)
JerryBro的博客
04-06 1672
项目是基于Flask、SQLAlchemy、face_recognition库的人脸考勤管理一体化系统。系统通过人脸识别技术实现员工考勤打卡、人脸信息采集、人脸模型训练等功能。项目采用前后端分离的技术框架,基于Flask轻量级Web框架搭建后端服务,结合HTML/CSS/JavaScript实现前端用户界面。
公司内部建立pypi源
最新发布
hello_new_life的博客
04-10 142
客户端测试:pip install test 提示安装成功!
【缓存击穿】Java的“SingleFlight”解决方案
weixin_42430947的博客
04-07 354
Golang中的SingleFlight能很好地解决缓存击穿问题
Python基于网易新闻和评论的舆情热点分析平台(附源码,文档说明)
IT徐师兄
04-09 529
Python基于网易新闻和评论的舆情热点分析平台,使用PYTHON语言、HTML5语言及MySql数据库技术开发,通过所学的知识创办一个大数据分析平台,使所有想进行新闻或评论数据分析的媒体工作者可以不必再使用传统的统计新闻或评论的方式进行数据的统计和分析,只需要在网站上进行分类搜索就可以找到感兴趣的新闻或评论话题。
python headq包介绍
Debug yourself!
04-09 319
headq是一个基于heapq的简化优先队列包,提供了更易用的接口和线程安全的特性。适合需要在 Python 中进行优先级队列操作的应用场景。
基于Runnable封装记忆链实现记忆自动管理
欢迎关注,共同进步!
04-08 175
通过​将 Memory 实例通过 configurable 字段注入运行时上下文​​2.在on_end。
在Ubuntu系统中同时有Python 3.8和Python 3.13,怎么实现使用Python 3.13
ZJQ的博客
04-09 19
是一个强大的Python版本管理工具,可方便地在不同Python版本间切换,还支持为不同项目设置独立的Python版本环境。虚拟环境可创建独立的Python运行环境,在其中指定使用Python 3.13 ,系统其他Python环境隔离。这样在该目录及其子目录下,Python版本就会被设置为3.13,而系统其他地方仍可使用原来的Python版本。激活后,终端提示符会显示虚拟环境名称,此时系统会使用虚拟环境内的Python 3.13版本,运行。的地方,都会使用Python 3.13版本。
"二进制函数相似性分析特征提取前沿研究
特征提取前沿论文最新进展 2018.10.30 方建勇(1) 背景: 当前,Instagram每天有数百万个帖子可供使用,可用于告知公共卫生监督目标和政策。然而,目前依赖于基于图像的数据的研究通常依赖于图像的手工编码,这是...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值