会员服务
分析 · 二进制程序 · 工具 · 系统 · 动态污点分析 ·
2 月 3 日
HALF: Hollowing Analysis Framework for Binary Programs with Kernel Module Assistance
翻译:HALF:基于内核模块辅助的二进制程序空洞化分析框架
Zhangbo Long,Letian Sha,Jiaye Pan,Haiping Huang,Dongpeng Xu,Yifei Huang,Fu Xiao
Zhangbo Long,Letian Sha,Jiaye Pan,Haiping Huang,Dongpeng Xu,Yifei Huang,Fu Xiao

Binary program analysis represents a fundamental pillar of modern system security. Fine-grained methodologies like dynamic taint analysis still suffer from deployment complexity and performance overhead despite significant progress. Traditional in-process analysis tools trigger severe \textbf{address-space conflicts} that inevitably disrupt the native memory layout of the target. These conflicts frequently cause layout-sensitive exploits and evasive malware to deviate from their intended execution paths or fail entirely. This paper introduces \textbf{HALF} as a novel framework that resolves this fundamental tension while ensuring both analysis fidelity and practical performance. HALF achieves high-fidelity address-space transparency by leveraging a kernel-assisted process hollowing mechanism. This design effectively eliminates the observation artifacts that characterize traditional instrumentation tools. We further mitigate the synchronization latency of decoupled execution by implementing an exception-driven strategy via a lightweight kernel monitor. Extensive evaluation of a Windows-based prototype demonstrates that HALF maintains superior performance compared to conventional in-process baselines. HALF also provides unique capabilities for deconstructing complex, stealthy threats where existing frameworks fail to maintain execution integrity.


翻译:二进制程序分析是现代系统安全的基础支柱。尽管取得了显著进展,但诸如动态污点分析等细粒度方法仍面临部署复杂性和性能开销的挑战。传统的进程内分析工具会引发严重的**地址空间冲突**,这种冲突不可避免地破坏目标程序的原始内存布局。这些冲突经常导致对布局敏感的漏洞利用和规避性恶意软件偏离其预期执行路径或完全失效。本文提出**HALF**作为一种新型框架,在确保分析保真度和实用性能的同时,从根本上解决了这一矛盾。HALF通过利用内核辅助的进程空洞化机制,实现了高保真的地址空间透明性。该设计有效消除了传统插桩工具固有的观测伪影。我们进一步通过轻量级内核监视器实现异常驱动策略,从而缓解解耦执行的同步延迟。基于Windows原型的广泛评估表明,与传统的进程内基线相比,HALF保持了更优的性能。在现有框架无法维持执行完整性的复杂隐蔽威胁解构场景中,HALF还展现出独特的能力。
0
下载
关闭预览

相关内容

【AAAI2026】URaG:面向高效长文档理解的多模态大语言模型统一检索与生成框架
【AAAI2026】URaG:面向高效长文档理解的多模态大语言模型统一检索与生成框架
专知会员服务
14+阅读 · 2025年11月14日
《深度文本哈希综述:基于二进制表示的高效语义文本检索》
《深度文本哈希综述:基于二进制表示的高效语义文本检索》
专知会员服务
9+阅读 · 2025年11月3日
人机协作《编队系统中不安全协作控制的系统理论分析》
人机协作《编队系统中不安全协作控制的系统理论分析》
专知会员服务
23+阅读 · 2024年11月23日
《使用大语言模型(LLM)对安全作战中心的威胁情报分析工作流程实现自动化》
《使用大语言模型(LLM)对安全作战中心的威胁情报分析工作流程实现自动化》
专知会员服务
33+阅读 · 2024年8月2日
推荐!《联合全域指挥与控制(JADC2)先进技术的虚拟系统簇分析》2023最新论文,BAE系统公司
推荐!《联合全域指挥与控制(JADC2)先进技术的虚拟系统簇分析》2023最新论文,BAE系统公司
专知会员服务
127+阅读 · 2023年6月18日
【技术情报】《开发基于模型的方法来预测竞争对手系统》美国空军技术学院2022最新106页论文
【技术情报】《开发基于模型的方法来预测竞争对手系统》美国空军技术学院2022最新106页论文
专知会员服务
58+阅读 · 2022年12月2日
推荐!《不确定性下的作战决策:推理、序贯和对抗性方法》美国空军293页博士论文,含代码
推荐!《不确定性下的作战决策:推理、序贯和对抗性方法》美国空军293页博士论文,含代码
专知会员服务
250+阅读 · 2022年11月15日
《H4rm0ny:用于规避恶意软件生成和检测的多智能体学习的竞争性两人零和马尔可夫博弈》2022最新12页论文,加拿大国防研究与发展部
《H4rm0ny:用于规避恶意软件生成和检测的多智能体学习的竞争性两人零和马尔可夫博弈》2022最新12页论文,加拿大国防研究与发展部
专知会员服务
26+阅读 · 2022年10月26日
内存计算研究进展
专知会员服务
29+阅读 · 2021年2月26日
霍普金斯《操作系统原理》2020课程,不可错过!
霍普金斯《操作系统原理》2020课程,不可错过!
专知会员服务
37+阅读 · 2020年10月27日
推荐!《不确定性下的作战决策:推理、序贯和对抗性方法》美国空军293页博士论文,含代码
推荐!《不确定性下的作战决策:推理、序贯和对抗性方法》美国空军293页博士论文,含代码
专知
47+阅读 · 2022年11月16日
【干货书】基于统计和机器学习的实用时间序列分析预测,Time Series Analysis Prediction
【干货书】基于统计和机器学习的实用时间序列分析预测,Time Series Analysis Prediction
专知
18+阅读 · 2022年4月9日
【硬核书】Linux核心编程|Linux Kernel Programming,741页pdf
【硬核书】Linux核心编程|Linux Kernel Programming,741页pdf
专知
13+阅读 · 2021年3月26日
【干货书-斯坦福】最优化算法,521页pdf,《Algorithms for Optimization》MIT出版社
【干货书-斯坦福】最优化算法,521页pdf,《Algorithms for Optimization》MIT出版社
专知
58+阅读 · 2020年7月2日
集多种半监督学习范式为一体,谷歌新研究提出新型半监督方法 MixMatch
集多种半监督学习范式为一体,谷歌新研究提出新型半监督方法 MixMatch
机器之心
11+阅读 · 2019年6月3日
【学界】DeepMind论文:深度压缩感知,新框架提升GAN性能
【学界】DeepMind论文:深度压缩感知,新框架提升GAN性能
GAN生成式对抗网络
14+阅读 · 2019年5月23日
【探索框架本源】开源中文书《TensorFlow内核剖析》,335页pdf
【探索框架本源】开源中文书《TensorFlow内核剖析》,335页pdf
专知
21+阅读 · 2018年12月22日
一张长图,让你直击推荐系统背后算法、架构、深度学习等运用!
一张长图,让你直击推荐系统背后算法、架构、深度学习等运用!
AI前线
11+阅读 · 2018年5月15日
最新|深度离散哈希算法,可用于图像检索!
最新|深度离散哈希算法,可用于图像检索!
全球人工智能
14+阅读 · 2017年12月15日
今日头条推荐系统架构演进之路
今日头条推荐系统架构演进之路
QCon
32+阅读 · 2017年6月21日
基于智能模糊测试的深度漏洞挖掘技术研究
国家自然科学基金
4+阅读 · 2017年12月31日
基于学习的智能化漏洞挖掘关键技术研究
国家自然科学基金
6+阅读 · 2017年12月31日
面向安全关键系统的时间可预测多核代码生成方法研究
国家自然科学基金
0+阅读 · 2015年12月31日
“非对称多通道”异质、异构内存系统架构及“启发式”混合内存资源管理机制的研究
国家自然科学基金
0+阅读 · 2015年12月31日
高准度二代测序比对算法
国家自然科学基金
3+阅读 · 2015年12月31日
面向二进制程序的静态结构化符号执行与动态组合方法研究
国家自然科学基金
0+阅读 · 2015年12月31日
基于安全需求分析的内核保护方法研究
国家自然科学基金
2+阅读 · 2015年12月31日
千万自由度量级并行有限元模态和振动分析软件研发
国家自然科学基金
0+阅读 · 2014年12月31日
隐写模糊安全性测度及其优化嵌入算法研究
国家自然科学基金
0+阅读 · 2014年12月31日
(半)代数系统的几何结构分析的高效算法及其应用
国家自然科学基金
0+阅读 · 2014年12月31日
FrameRef: A Framing Dataset and Simulation Testbed for Modeling Bounded Rational Information Health
Arxiv
0+阅读 · 2月17日
Batch-CAM: Introduction to better reasoning in convolutional deep learning models
Arxiv
0+阅读 · 2月13日
Fool Me If You Can: On the Robustness of Binary Code Similarity Detection Models against Semantics-preserving Transformations
Arxiv
0+阅读 · 2月13日
SecCodePRM: A Process Reward Model for Code Security
Arxiv
0+阅读 · 2月11日
ASIDE: Architectural Separation of Instructions and Data in Language Models
Arxiv
0+阅读 · 2月9日
From Fuzzy to Exact: The Halo Architecture for Infinite-Depth Reasoning via Rational Arithmetic
Arxiv
0+阅读 · 2月7日
Harmonia: Algorithm-Hardware Co-Design for Memory- and Compute-Efficient BFP-based LLM Inference
Arxiv
0+阅读 · 2月4日
HAMLOCK: HArdware-Model LOgically Combined attacK
Arxiv
0+阅读 · 2月2日
YASA: Scalable Multi-Language Taint Analysis on the Unified AST at Ant Group
Arxiv
0+阅读 · 1月24日
XuanJia: A Comprehensive Virtualization-Based Code Obfuscator for Binary Protection
Arxiv
0+阅读 · 1月15日
VIP会员
文章信息
前往arXiv
下载PDF
相关主题
分析
二进制程序
工具
系统
动态污点分析
相关VIP内容
【AAAI2026】URaG:面向高效长文档理解的多模态大语言模型统一检索与生成框架
【AAAI2026】URaG:面向高效长文档理解的多模态大语言模型统一检索与生成框架
专知会员服务
14+阅读 · 2025年11月14日
《深度文本哈希综述:基于二进制表示的高效语义文本检索》
《深度文本哈希综述:基于二进制表示的高效语义文本检索》
专知会员服务
9+阅读 · 2025年11月3日
人机协作《编队系统中不安全协作控制的系统理论分析》
人机协作《编队系统中不安全协作控制的系统理论分析》
专知会员服务
23+阅读 · 2024年11月23日
《使用大语言模型(LLM)对安全作战中心的威胁情报分析工作流程实现自动化》
《使用大语言模型(LLM)对安全作战中心的威胁情报分析工作流程实现自动化》
专知会员服务
33+阅读 · 2024年8月2日
推荐!《联合全域指挥与控制(JADC2)先进技术的虚拟系统簇分析》2023最新论文,BAE系统公司
推荐!《联合全域指挥与控制(JADC2)先进技术的虚拟系统簇分析》2023最新论文,BAE系统公司
专知会员服务
127+阅读 · 2023年6月18日
【技术情报】《开发基于模型的方法来预测竞争对手系统》美国空军技术学院2022最新106页论文
【技术情报】《开发基于模型的方法来预测竞争对手系统》美国空军技术学院2022最新106页论文
专知会员服务
58+阅读 · 2022年12月2日
推荐!《不确定性下的作战决策:推理、序贯和对抗性方法》美国空军293页博士论文,含代码
推荐!《不确定性下的作战决策:推理、序贯和对抗性方法》美国空军293页博士论文,含代码
专知会员服务
250+阅读 · 2022年11月15日
《H4rm0ny:用于规避恶意软件生成和检测的多智能体学习的竞争性两人零和马尔可夫博弈》2022最新12页论文,加拿大国防研究与发展部
《H4rm0ny:用于规避恶意软件生成和检测的多智能体学习的竞争性两人零和马尔可夫博弈》2022最新12页论文,加拿大国防研究与发展部
专知会员服务
26+阅读 · 2022年10月26日
内存计算研究进展
专知会员服务
29+阅读 · 2021年2月26日
霍普金斯《操作系统原理》2020课程,不可错过!
霍普金斯《操作系统原理》2020课程,不可错过!
专知会员服务
37+阅读 · 2020年10月27日
热门VIP内容
相关资讯
推荐!《不确定性下的作战决策:推理、序贯和对抗性方法》美国空军293页博士论文,含代码
推荐!《不确定性下的作战决策:推理、序贯和对抗性方法》美国空军293页博士论文,含代码
专知
47+阅读 · 2022年11月16日
【干货书】基于统计和机器学习的实用时间序列分析预测,Time Series Analysis Prediction
【干货书】基于统计和机器学习的实用时间序列分析预测,Time Series Analysis Prediction
专知
18+阅读 · 2022年4月9日
【硬核书】Linux核心编程|Linux Kernel Programming,741页pdf
【硬核书】Linux核心编程|Linux Kernel Programming,741页pdf
专知
13+阅读 · 2021年3月26日
【干货书-斯坦福】最优化算法,521页pdf,《Algorithms for Optimization》MIT出版社
【干货书-斯坦福】最优化算法,521页pdf,《Algorithms for Optimization》MIT出版社
专知
58+阅读 · 2020年7月2日
集多种半监督学习范式为一体,谷歌新研究提出新型半监督方法 MixMatch
集多种半监督学习范式为一体,谷歌新研究提出新型半监督方法 MixMatch
机器之心
11+阅读 · 2019年6月3日
【学界】DeepMind论文:深度压缩感知,新框架提升GAN性能
【学界】DeepMind论文:深度压缩感知,新框架提升GAN性能
GAN生成式对抗网络
14+阅读 · 2019年5月23日
【探索框架本源】开源中文书《TensorFlow内核剖析》,335页pdf
【探索框架本源】开源中文书《TensorFlow内核剖析》,335页pdf
专知
21+阅读 · 2018年12月22日
一张长图,让你直击推荐系统背后算法、架构、深度学习等运用!
一张长图,让你直击推荐系统背后算法、架构、深度学习等运用!
AI前线
11+阅读 · 2018年5月15日
最新|深度离散哈希算法,可用于图像检索!
最新|深度离散哈希算法,可用于图像检索!
全球人工智能
14+阅读 · 2017年12月15日
今日头条推荐系统架构演进之路
今日头条推荐系统架构演进之路
QCon
32+阅读 · 2017年6月21日
相关论文
FrameRef: A Framing Dataset and Simulation Testbed for Modeling Bounded Rational Information Health
Arxiv
0+阅读 · 2月17日
Batch-CAM: Introduction to better reasoning in convolutional deep learning models
Arxiv
0+阅读 · 2月13日
Fool Me If You Can: On the Robustness of Binary Code Similarity Detection Models against Semantics-preserving Transformations
Arxiv
0+阅读 · 2月13日
SecCodePRM: A Process Reward Model for Code Security
Arxiv
0+阅读 · 2月11日
ASIDE: Architectural Separation of Instructions and Data in Language Models
Arxiv
0+阅读 · 2月9日
From Fuzzy to Exact: The Halo Architecture for Infinite-Depth Reasoning via Rational Arithmetic
Arxiv
0+阅读 · 2月7日
Harmonia: Algorithm-Hardware Co-Design for Memory- and Compute-Efficient BFP-based LLM Inference
Arxiv
0+阅读 · 2月4日
HAMLOCK: HArdware-Model LOgically Combined attacK
Arxiv
0+阅读 · 2月2日
YASA: Scalable Multi-Language Taint Analysis on the Unified AST at Ant Group
Arxiv
0+阅读 · 1月24日
XuanJia: A Comprehensive Virtualization-Based Code Obfuscator for Binary Protection
Arxiv
0+阅读 · 1月15日
相关基金
基于智能模糊测试的深度漏洞挖掘技术研究
国家自然科学基金
4+阅读 · 2017年12月31日
基于学习的智能化漏洞挖掘关键技术研究
国家自然科学基金
6+阅读 · 2017年12月31日
面向安全关键系统的时间可预测多核代码生成方法研究
国家自然科学基金
0+阅读 · 2015年12月31日
“非对称多通道”异质、异构内存系统架构及“启发式”混合内存资源管理机制的研究
国家自然科学基金
0+阅读 · 2015年12月31日
高准度二代测序比对算法
国家自然科学基金
3+阅读 · 2015年12月31日
面向二进制程序的静态结构化符号执行与动态组合方法研究
国家自然科学基金
0+阅读 · 2015年12月31日
基于安全需求分析的内核保护方法研究
国家自然科学基金
2+阅读 · 2015年12月31日
千万自由度量级并行有限元模态和振动分析软件研发
国家自然科学基金
0+阅读 · 2014年12月31日
隐写模糊安全性测度及其优化嵌入算法研究
国家自然科学基金
0+阅读 · 2014年12月31日
(半)代数系统的几何结构分析的高效算法及其应用
国家自然科学基金
0+阅读 · 2014年12月31日
Top
微信扫码咨询专知VIP会员
Top