会员服务
结构 · 分析 · 静态检测 · 代码 · 软件 ·
1 月 19 日
Static Detection of Core Structures in Tigress Virtualization-Based Obfuscation Using an LLVM Pass
翻译:基于LLVM Pass的Tigress虚拟化混淆核心结构静态检测方法
Sangjun An,Seoksu Lee,Eun-Sun Cho
Sangjun An,Seoksu Lee,Eun-Sun Cho
from arxiv, 7 pages, 7figures, An extended version of this work has been submitted to the Journal of KIISC

Malware often uses obfuscation to hinder security analysis. Among these techniques, virtualization-based obfuscation is particularly strong because it protects programs by translating original instructions into attacker-defined virtual machine (VM) bytecode, producing long and complex code that is difficult to analyze and deobfuscate. This paper aims to identify the structural components of virtualization-based obfuscation through static analysis. By examining the execution model of obfuscated code, we define and detect the key elements required for deobfuscation-namely the dispatch routine, handler blocks, and the VM region-using LLVM IR. Experimental results show that, in the absence of compiler optimizations, the proposed LLVM Pass successfully detects all core structures across major virtualization options, including switch, direct, and indirect modes.


翻译:恶意软件常采用混淆技术阻碍安全分析。其中,虚拟化混淆因其通过将原始指令转换为攻击者自定义的虚拟机字节码来保护程序,能生成冗长复杂的代码而难以分析与反混淆,成为效果尤为显著的技术。本文旨在通过静态分析识别虚拟化混淆的结构组件。通过研究混淆代码的执行模型,我们在LLVM IR层面定义并检测反混淆所需的关键要素——即调度例程、处理程序块及虚拟机区域。实验结果表明,在未启用编译器优化的情况下,所提出的LLVM Pass能够成功检测包括switch模式、直接模式与间接模式在内的主流虚拟化选项中的所有核心结构。
0
下载
关闭预览

相关内容

《基于动态图神经网络的恶意软件检测》
《基于动态图神经网络的恶意软件检测》
专知会员服务
14+阅读 · 1月28日
《动态网络环境下基于软件定义网络的分布式侦察欺骗》最新190页
《动态网络环境下基于软件定义网络的分布式侦察欺骗》最新190页
专知会员服务
23+阅读 · 2024年6月3日
基于多模态学习的虚假新闻检测研究
基于多模态学习的虚假新闻检测研究
专知会员服务
34+阅读 · 2023年9月8日
《基于高斯混合流和入包的异常检测》2023最新57页论文
《基于高斯混合流和入包的异常检测》2023最新57页论文
专知会员服务
28+阅读 · 2023年5月15日
《基于对手网络基础设施发掘来实现自动威胁建模》2023最新79页论文
《基于对手网络基础设施发掘来实现自动威胁建模》2023最新79页论文
专知会员服务
32+阅读 · 2023年5月14日
《H4rm0ny:用于规避恶意软件生成和检测的多智能体学习的竞争性两人零和马尔可夫博弈》2022最新12页论文,加拿大国防研究与发展部
《H4rm0ny:用于规避恶意软件生成和检测的多智能体学习的竞争性两人零和马尔可夫博弈》2022最新12页论文,加拿大国防研究与发展部
专知会员服务
26+阅读 · 2022年10月26日
【AI+军事】附论文《连接点-增强信息处理链,为支持东道国和领土作战的混合威胁检测》
【AI+军事】附论文《连接点-增强信息处理链,为支持东道国和领土作战的混合威胁检测》
专知会员服务
25+阅读 · 2022年5月5日
【CMU博士论文】使用静态和动态图来异常检测,Mining Anomalies using Static and Dynamic Graphs
【CMU博士论文】使用静态和动态图来异常检测,Mining Anomalies using Static and Dynamic Graphs
专知会员服务
68+阅读 · 2020年5月26日
【论文推荐】基于机器学习的5G网络异常检测,Machine Learning based Anomaly Detection for 5G Networks
【论文推荐】基于机器学习的5G网络异常检测,Machine Learning based Anomaly Detection for 5G Networks
专知会员服务
36+阅读 · 2020年3月12日
【O'Reilly TensorFlow Conference 2019】恶意软件检测(Generative malware outbreak detection),Sean Park | Trend Micro
【O'Reilly TensorFlow Conference 2019】恶意软件检测(Generative malware outbreak detection),Sean Park | Trend Micro
专知会员服务
15+阅读 · 2019年11月13日
智能合约的形式化验证方法研究综述
智能合约的形式化验证方法研究综述
专知
16+阅读 · 2021年5月8日
(CVPR2021)基于结构保持的弱监督目标定位
(CVPR2021)基于结构保持的弱监督目标定位
专知
18+阅读 · 2021年5月1日
TheFatRat 一款简易后门工具
TheFatRat 一款简易后门工具
黑白之道
35+阅读 · 2019年10月23日
Xsser 一款自动检测XSS漏洞工具
Xsser 一款自动检测XSS漏洞工具
黑白之道
14+阅读 · 2019年8月26日
中科院牛津华为诺亚提出:CenterNet,One-stage目标检测最强算法!可达47mAP,已开源!
中科院牛津华为诺亚提出:CenterNet,One-stage目标检测最强算法!可达47mAP,已开源!
极市平台
19+阅读 · 2019年4月18日
我所了解的物联网设备测试方法(硬件篇)
我所了解的物联网设备测试方法(硬件篇)
FreeBuf
12+阅读 · 2019年2月12日
一文读懂目标检测:R-CNN、Fast R-CNN、Faster R-CNN、YOLO、SSD
一文读懂目标检测:R-CNN、Fast R-CNN、Faster R-CNN、YOLO、SSD
七月在线实验室
11+阅读 · 2018年7月18日
【论文推荐】最新六篇对抗自编码器相关论文—多尺度网络节点表示、生成对抗自编码、逆映射、Wasserstein、条件对抗、去噪
【论文推荐】最新六篇对抗自编码器相关论文—多尺度网络节点表示、生成对抗自编码、逆映射、Wasserstein、条件对抗、去噪
专知
20+阅读 · 2018年4月7日
纵览轻量化卷积神经网络:SqueezeNet、MobileNet、ShuffleNet、Xception
纵览轻量化卷积神经网络:SqueezeNet、MobileNet、ShuffleNet、Xception
机器之心
11+阅读 · 2018年1月8日
网络安全态势感知浅析
网络安全态势感知浅析
计算机与网络安全
18+阅读 · 2017年10月13日
面向动态演化的网构软件失效机理与测评方法
国家自然科学基金
1+阅读 · 2015年12月31日
面向应用商店的移动智能终端恶意软件检测关键技术研究
国家自然科学基金
1+阅读 · 2015年12月31日
基于海量软件片段比对的恶意代码检测方法研究
国家自然科学基金
2+阅读 · 2015年12月31日
基于软件定义无线网络的虚拟多径攻击检测与防御技术研究
国家自然科学基金
1+阅读 · 2015年12月31日
基于高维流形计算的混沌密码攻击方法研究
国家自然科学基金
0+阅读 · 2015年12月31日
基于网络活动分析的窃密木马检测技术研究
国家自然科学基金
0+阅读 · 2015年12月31日
无线传感器网络中高效的虚假数据过滤方法研究
国家自然科学基金
1+阅读 · 2015年12月31日
面向二进制程序的静态结构化符号执行与动态组合方法研究
国家自然科学基金
0+阅读 · 2015年12月31日
基于自适应模型检测的安全协议自动建模与设计研究
国家自然科学基金
1+阅读 · 2014年12月31日
物联网关键技术RFID系统安全测试的仿真架构.评估模型和受攻击模式的研究和实践
国家自然科学基金
2+阅读 · 2014年12月31日
Hybrid Approach to Directed Fuzzing
Arxiv
0+阅读 · 1月30日
LLM-Assisted Authentication and Fraud Detection
Arxiv
0+阅读 · 1月29日
ShieldedCode: Learning Robust Representations for Virtual Machine Protected Code
Arxiv
0+阅读 · 1月28日
LLM-Assisted Authentication and Fraud Detection
Arxiv
0+阅读 · 1月27日
Reducing False Positives in Static Bug Detection with LLMs: An Empirical Study in Industry
Arxiv
0+阅读 · 1月26日
Enhancing Fuzz Testing Efficiency through Automated Fuzz Target Generation
Arxiv
0+阅读 · 1月17日
XuanJia: A Comprehensive Virtualization-Based Code Obfuscator for Binary Protection
Arxiv
0+阅读 · 1月15日
Proactively Detecting Threats: A Novel Approach Using LLMs
Arxiv
0+阅读 · 1月13日
Static Deadlock Detection for Rust Programs
Arxiv
0+阅读 · 1月7日
RoguePrompt: Dual-Layer Ciphering for Self-Reconstruction to Circumvent LLM Moderation
Arxiv
0+阅读 · 1月4日
VIP会员
文章信息
前往arXiv
下载PDF
相关主题
结构
分析
静态检测
代码
软件
相关VIP内容
《基于动态图神经网络的恶意软件检测》
《基于动态图神经网络的恶意软件检测》
专知会员服务
14+阅读 · 1月28日
《动态网络环境下基于软件定义网络的分布式侦察欺骗》最新190页
《动态网络环境下基于软件定义网络的分布式侦察欺骗》最新190页
专知会员服务
23+阅读 · 2024年6月3日
基于多模态学习的虚假新闻检测研究
基于多模态学习的虚假新闻检测研究
专知会员服务
34+阅读 · 2023年9月8日
《基于高斯混合流和入包的异常检测》2023最新57页论文
《基于高斯混合流和入包的异常检测》2023最新57页论文
专知会员服务
28+阅读 · 2023年5月15日
《基于对手网络基础设施发掘来实现自动威胁建模》2023最新79页论文
《基于对手网络基础设施发掘来实现自动威胁建模》2023最新79页论文
专知会员服务
32+阅读 · 2023年5月14日
《H4rm0ny:用于规避恶意软件生成和检测的多智能体学习的竞争性两人零和马尔可夫博弈》2022最新12页论文,加拿大国防研究与发展部
《H4rm0ny:用于规避恶意软件生成和检测的多智能体学习的竞争性两人零和马尔可夫博弈》2022最新12页论文,加拿大国防研究与发展部
专知会员服务
26+阅读 · 2022年10月26日
【AI+军事】附论文《连接点-增强信息处理链,为支持东道国和领土作战的混合威胁检测》
【AI+军事】附论文《连接点-增强信息处理链,为支持东道国和领土作战的混合威胁检测》
专知会员服务
25+阅读 · 2022年5月5日
【CMU博士论文】使用静态和动态图来异常检测,Mining Anomalies using Static and Dynamic Graphs
【CMU博士论文】使用静态和动态图来异常检测,Mining Anomalies using Static and Dynamic Graphs
专知会员服务
68+阅读 · 2020年5月26日
【论文推荐】基于机器学习的5G网络异常检测,Machine Learning based Anomaly Detection for 5G Networks
【论文推荐】基于机器学习的5G网络异常检测,Machine Learning based Anomaly Detection for 5G Networks
专知会员服务
36+阅读 · 2020年3月12日
【O'Reilly TensorFlow Conference 2019】恶意软件检测(Generative malware outbreak detection),Sean Park | Trend Micro
【O'Reilly TensorFlow Conference 2019】恶意软件检测(Generative malware outbreak detection),Sean Park | Trend Micro
专知会员服务
15+阅读 · 2019年11月13日
热门VIP内容
相关资讯
智能合约的形式化验证方法研究综述
智能合约的形式化验证方法研究综述
专知
16+阅读 · 2021年5月8日
(CVPR2021)基于结构保持的弱监督目标定位
(CVPR2021)基于结构保持的弱监督目标定位
专知
18+阅读 · 2021年5月1日
TheFatRat 一款简易后门工具
TheFatRat 一款简易后门工具
黑白之道
35+阅读 · 2019年10月23日
Xsser 一款自动检测XSS漏洞工具
Xsser 一款自动检测XSS漏洞工具
黑白之道
14+阅读 · 2019年8月26日
中科院牛津华为诺亚提出:CenterNet,One-stage目标检测最强算法!可达47mAP,已开源!
中科院牛津华为诺亚提出:CenterNet,One-stage目标检测最强算法!可达47mAP,已开源!
极市平台
19+阅读 · 2019年4月18日
我所了解的物联网设备测试方法(硬件篇)
我所了解的物联网设备测试方法(硬件篇)
FreeBuf
12+阅读 · 2019年2月12日
一文读懂目标检测:R-CNN、Fast R-CNN、Faster R-CNN、YOLO、SSD
一文读懂目标检测:R-CNN、Fast R-CNN、Faster R-CNN、YOLO、SSD
七月在线实验室
11+阅读 · 2018年7月18日
【论文推荐】最新六篇对抗自编码器相关论文—多尺度网络节点表示、生成对抗自编码、逆映射、Wasserstein、条件对抗、去噪
【论文推荐】最新六篇对抗自编码器相关论文—多尺度网络节点表示、生成对抗自编码、逆映射、Wasserstein、条件对抗、去噪
专知
20+阅读 · 2018年4月7日
纵览轻量化卷积神经网络:SqueezeNet、MobileNet、ShuffleNet、Xception
纵览轻量化卷积神经网络:SqueezeNet、MobileNet、ShuffleNet、Xception
机器之心
11+阅读 · 2018年1月8日
网络安全态势感知浅析
网络安全态势感知浅析
计算机与网络安全
18+阅读 · 2017年10月13日
相关论文
Hybrid Approach to Directed Fuzzing
Arxiv
0+阅读 · 1月30日
LLM-Assisted Authentication and Fraud Detection
Arxiv
0+阅读 · 1月29日
ShieldedCode: Learning Robust Representations for Virtual Machine Protected Code
Arxiv
0+阅读 · 1月28日
LLM-Assisted Authentication and Fraud Detection
Arxiv
0+阅读 · 1月27日
Reducing False Positives in Static Bug Detection with LLMs: An Empirical Study in Industry
Arxiv
0+阅读 · 1月26日
Enhancing Fuzz Testing Efficiency through Automated Fuzz Target Generation
Arxiv
0+阅读 · 1月17日
XuanJia: A Comprehensive Virtualization-Based Code Obfuscator for Binary Protection
Arxiv
0+阅读 · 1月15日
Proactively Detecting Threats: A Novel Approach Using LLMs
Arxiv
0+阅读 · 1月13日
Static Deadlock Detection for Rust Programs
Arxiv
0+阅读 · 1月7日
RoguePrompt: Dual-Layer Ciphering for Self-Reconstruction to Circumvent LLM Moderation
Arxiv
0+阅读 · 1月4日
相关基金
面向动态演化的网构软件失效机理与测评方法
国家自然科学基金
1+阅读 · 2015年12月31日
面向应用商店的移动智能终端恶意软件检测关键技术研究
国家自然科学基金
1+阅读 · 2015年12月31日
基于海量软件片段比对的恶意代码检测方法研究
国家自然科学基金
2+阅读 · 2015年12月31日
基于软件定义无线网络的虚拟多径攻击检测与防御技术研究
国家自然科学基金
1+阅读 · 2015年12月31日
基于高维流形计算的混沌密码攻击方法研究
国家自然科学基金
0+阅读 · 2015年12月31日
基于网络活动分析的窃密木马检测技术研究
国家自然科学基金
0+阅读 · 2015年12月31日
无线传感器网络中高效的虚假数据过滤方法研究
国家自然科学基金
1+阅读 · 2015年12月31日
面向二进制程序的静态结构化符号执行与动态组合方法研究
国家自然科学基金
0+阅读 · 2015年12月31日
基于自适应模型检测的安全协议自动建模与设计研究
国家自然科学基金
1+阅读 · 2014年12月31日
物联网关键技术RFID系统安全测试的仿真架构.评估模型和受攻击模式的研究和实践
国家自然科学基金
2+阅读 · 2014年12月31日
Top
微信扫码咨询专知VIP会员
Top