基于二进制熵的模糊测试加解密函数定位方法技术

本发明专利技术涉及一种基于二进制熵的加解密函数的定位方法，属于信息安全中的二进制漏洞挖掘领域，目的是为解决模糊测试中加解密函数的定位能力不足、尤其是区分加解密与其他类似运算易出现误判的问题。本方法采用二进制熵分析的方法，首先观察关键内存位置的指令特征，若发现疑似加解密运算后，进行动态分析，取出敏感操作对应的一段连续内存，分别对其进行块密码分析和流密码分析，因为加解密函数与哈希算法的指令特征非常相似，所以为排除哈希算法对加密判断的影响，进行哈希运算检测。由于可能存在其他私有的加解密方法，再对上述结果进行二进制熵分析，最后通过综合判定定位加解密函数的位置。本发明专利技术准确率较高，空间消耗低，适用于对精度要求较高、数据量较大的模糊测试领域，具有很好的应用价值和推广价值。

Location method of fuzzy test encryption and decryption function based on binary entropy

The invention relates to a positioning method based on binary entropy encryption function, belongs to the information security in the binary vulnerability mining field, is to solve the fuzzy positioning capability test and decryption function, especially the distinction between encryption and decryption and other similar operations to misjudgment problem. The method of binary entropy analysis, instruction characteristics first observe the key memory location, if suspected of encryption and decryption, dynamic analysis, a continuous operation of the corresponding sensitive memory, separately carried on the analysis of current block cipher and password for encryption and decryption functions and instruction features for the hash algorithm is very similar, so as to eliminate the effect of encryption hash algorithm to judge the hash detection. Since there may be other private encryption and decryption methods, binary entropy analysis of the above results is carried out, and finally the location of the location function is determined comprehensively. The invention has the advantages of high accuracy and low space consumption, and is suitable for the fuzzy testing field with high precision and large data quantity, and has good application value and popularization value.

【技术实现步骤摘要】
基于二进制熵的模糊测试加解密函数定位方法
本专利技术涉及一种基于二进制熵的加解密函数的定位方法，属于信息安全中的二进制漏洞挖掘领域。
技术介绍
软件、协议漏洞可以使攻击者在未授权的情况下对系统进行访问或破坏，严重威胁到信息系统的安全，因此对漏洞问题的研究已成为当下信息安全领域的重要研究内容。目前，利用软件在危害发生前挖掘漏洞已成为行之有效的解决安全漏洞的方法，因此，漏洞挖掘对保护信息系统安全有着至关重要的作用。模糊测试技术是目前安全领域最常用、综合效果较好的漏洞挖掘方法，该技术通过向目标系统提供随机构造的测试用例(非预期输入，即经过变异的输入数据，该数据随机性强，不可预测性大)，监视系统的执行过程是否出现崩溃、挂起或其他异常，判定目标系统是否存在安全问题。但随机构造的测试用例不可预测性大，对于包含加解密函数的目标系统程序，通常由于复杂的运算操作导致测试效果显著降低，比如加解密函数导致数据的格式信息被混淆，使得加密字段的变异仅仅是测试解密函数，却往往测不到加密函数后的主要程序流程。目前解决该问题的有效方法即是定位加解密函数在程序中的位置，因此，本专利技术将提供一种基于二进制熵的方法对加本文档来自技高网...

【技术保护点】
基于二进制熵的加解密函数定位方法，其特征在于所述方法包括如下步骤：步骤1，动态插桩，依靠运算指令特征，寻找基本块并定位，在连续内存区域取出关键内存信息；步骤2，对关键内存信息进行哈希运算检测、块密码分析、流密码分析；步骤3，对步骤2中的结果进行二进制熵分析，输出加解密函数判决。

【技术特征摘要】
1.基于二进制熵的加解密函数定位方法，其特征在于所述方法包括如下步骤：步骤1，动态插桩，依靠运算指令特征，寻找基本块并定位，在连续内存区域取出关键内存信息；步骤2，对关键内存信息进行哈希运算检测、块密码分析、流密码分析；步骤3，对步骤2中的结果进行二进制熵分析，输出加解密函数判决。2.根据权利要求1所述的基于二进制熵的加解密函数定位方法，其特征在于：步骤1以基本块为单位，记录其入口地址并获得关键内存信息。3.根据权利要求1所述的基于二进制熵的加解密函数定位方法，其特征在于：步骤2是通过判断某路径的各基本块的汇编指令比例来初步确定哈希计算的位置。4.根据权利要求1所述的基于二进制熵的加...

【专利技术属性】
技术研发人员：罗森林，喻露，潘丽敏，尚海，丁庸，
申请(专利权)人：北京理工大学，
类型：发明
国别省市：北京,11