会员服务
分析 · 二进制程序 · 工具 · 系统 · 动态污点分析 ·
1 月 31 日
HALF: Hollowing Analysis Framework for Binary Programs with Kernel Module Assistance
翻译:HALF:基于内核模块辅助的二进制程序空洞化分析框架
Zhangbo Long,Letian Sha,Jiaye Pan,Dongpeng Xu,Yifei Huang,Fu Xiao
Zhangbo Long,Letian Sha,Jiaye Pan,Dongpeng Xu,Yifei Huang,Fu Xiao

Binary program analysis represents a fundamental pillar of modern system security. Fine-grained methodologies like dynamic taint analysis still suffer from deployment complexity and performance overhead despite significant progress. Traditional in-process analysis tools trigger severe \textbf{address-space conflicts} that inevitably disrupt the native memory layout of the target. These conflicts frequently cause layout-sensitive exploits and evasive malware to deviate from their intended execution paths or fail entirely. This paper introduces \textbf{HALF} as a novel framework that resolves this fundamental tension while ensuring both analysis fidelity and practical performance. HALF achieves high-fidelity address-space transparency by leveraging a kernel-assisted process hollowing mechanism. This design effectively eliminates the observation artifacts that characterize traditional instrumentation tools. We further mitigate the synchronization latency of decoupled execution by implementing an exception-driven strategy via a lightweight kernel monitor. Extensive evaluation of a Windows-based prototype demonstrates that HALF maintains superior performance compared to conventional in-process baselines. HALF also provides unique capabilities for deconstructing complex, stealthy threats where existing frameworks fail to maintain execution integrity.


翻译:二进制程序分析是现代系统安全的基石。尽管取得了显著进展,但动态污点分析等细粒度方法仍面临部署复杂性和性能开销的挑战。传统进程内分析工具会引发严重的**地址空间冲突**,这种冲突不可避免地破坏目标程序的原始内存布局。此类冲突常导致布局敏感型漏洞利用和规避性恶意软件偏离其预期执行路径或完全失效。本文提出**HALF**这一创新框架,在确保分析保真度与实际性能的同时,从根本上解决了这一核心矛盾。HALF通过内核辅助的进程空洞化机制实现高保真地址空间透明性,该设计有效消除了传统插桩工具固有的观测伪影。我们进一步通过轻量级内核监视器实现异常驱动策略,从而缓解解耦执行的同步延迟。基于Windows原型的广泛评估表明,相较于传统进程内基线方法,HALF保持了卓越的性能。在现有框架无法维持执行完整性的复杂隐蔽威胁解构场景中,HALF亦展现出独特的技术优势。
0
下载
关闭预览

相关内容

《深度文本哈希综述:基于二进制表示的高效语义文本检索》
《深度文本哈希综述:基于二进制表示的高效语义文本检索》
专知会员服务
9+阅读 · 2025年11月3日
【博士论文】《通过提前退出算法加速大语言模型推理》
【博士论文】《通过提前退出算法加速大语言模型推理》
专知会员服务
13+阅读 · 2025年9月9日
人机协作《编队系统中不安全协作控制的系统理论分析》
人机协作《编队系统中不安全协作控制的系统理论分析》
专知会员服务
23+阅读 · 2024年11月23日
《使用大语言模型(LLM)对安全作战中心的威胁情报分析工作流程实现自动化》
《使用大语言模型(LLM)对安全作战中心的威胁情报分析工作流程实现自动化》
专知会员服务
33+阅读 · 2024年8月2日
推荐!《联合全域指挥与控制(JADC2)先进技术的虚拟系统簇分析》2023最新论文,BAE系统公司
推荐!《联合全域指挥与控制(JADC2)先进技术的虚拟系统簇分析》2023最新论文,BAE系统公司
专知会员服务
127+阅读 · 2023年6月18日
推荐!《不确定性下的作战决策:推理、序贯和对抗性方法》美国空军293页博士论文,含代码
推荐!《不确定性下的作战决策:推理、序贯和对抗性方法》美国空军293页博士论文,含代码
专知会员服务
250+阅读 · 2022年11月15日
《H4rm0ny:用于规避恶意软件生成和检测的多智能体学习的竞争性两人零和马尔可夫博弈》2022最新12页论文,加拿大国防研究与发展部
《H4rm0ny:用于规避恶意软件生成和检测的多智能体学习的竞争性两人零和马尔可夫博弈》2022最新12页论文,加拿大国防研究与发展部
专知会员服务
26+阅读 · 2022年10月26日
【书籍】网络安全《移动目标防御 II:博弈论和对抗性建模的应用》210页,Moving Target Defense II:Application of Game Theory and Adversarial Modeling
【书籍】网络安全《移动目标防御 II:博弈论和对抗性建模的应用》210页,Moving Target Defense II:Application of Game Theory and Adversarial Modeling
专知会员服务
66+阅读 · 2022年4月14日
内存计算研究进展
专知会员服务
29+阅读 · 2021年2月26日
【O'Reilly TensorFlow Conference 2019】恶意软件检测(Generative malware outbreak detection),Sean Park | Trend Micro
【O'Reilly TensorFlow Conference 2019】恶意软件检测(Generative malware outbreak detection),Sean Park | Trend Micro
专知会员服务
15+阅读 · 2019年11月13日
【蜂群无人机控制关键技术】《基于深度学习进行无线电信号和协议分类以自动发现波形漏洞》2022最新102页报告,美国空军研究实验室
【蜂群无人机控制关键技术】《基于深度学习进行无线电信号和协议分类以自动发现波形漏洞》2022最新102页报告,美国空军研究实验室
专知
69+阅读 · 2022年12月3日
推荐!《不确定性下的作战决策:推理、序贯和对抗性方法》美国空军293页博士论文,含代码
推荐!《不确定性下的作战决策:推理、序贯和对抗性方法》美国空军293页博士论文,含代码
专知
47+阅读 · 2022年11月16日
【硬核书】Linux核心编程|Linux Kernel Programming,741页pdf
【硬核书】Linux核心编程|Linux Kernel Programming,741页pdf
专知
13+阅读 · 2021年3月26日
【干货书-斯坦福】最优化算法,521页pdf,《Algorithms for Optimization》MIT出版社
【干货书-斯坦福】最优化算法,521页pdf,《Algorithms for Optimization》MIT出版社
专知
58+阅读 · 2020年7月2日
这个项目火了!各种深度学习架构,模型和技巧的集合
这个项目火了!各种深度学习架构,模型和技巧的集合
大数据技术
14+阅读 · 2019年6月13日
集多种半监督学习范式为一体,谷歌新研究提出新型半监督方法 MixMatch
集多种半监督学习范式为一体,谷歌新研究提出新型半监督方法 MixMatch
机器之心
11+阅读 · 2019年6月3日
【学界】DeepMind论文:深度压缩感知,新框架提升GAN性能
【学界】DeepMind论文:深度压缩感知,新框架提升GAN性能
GAN生成式对抗网络
14+阅读 · 2019年5月23日
【探索框架本源】开源中文书《TensorFlow内核剖析》,335页pdf
【探索框架本源】开源中文书《TensorFlow内核剖析》,335页pdf
专知
21+阅读 · 2018年12月22日
最新|深度离散哈希算法,可用于图像检索!
最新|深度离散哈希算法,可用于图像检索!
全球人工智能
14+阅读 · 2017年12月15日
今日头条推荐系统架构演进之路
今日头条推荐系统架构演进之路
QCon
32+阅读 · 2017年6月21日
基于智能模糊测试的深度漏洞挖掘技术研究
国家自然科学基金
4+阅读 · 2017年12月31日
基于学习的智能化漏洞挖掘关键技术研究
国家自然科学基金
6+阅读 · 2017年12月31日
面向安全关键系统的时间可预测多核代码生成方法研究
国家自然科学基金
0+阅读 · 2015年12月31日
“非对称多通道”异质、异构内存系统架构及“启发式”混合内存资源管理机制的研究
国家自然科学基金
0+阅读 · 2015年12月31日
高准度二代测序比对算法
国家自然科学基金
3+阅读 · 2015年12月31日
弹体侵彻混凝土的FEM-SPH耦合算法研究
国家自然科学基金
0+阅读 · 2015年12月31日
面向二进制程序的静态结构化符号执行与动态组合方法研究
国家自然科学基金
0+阅读 · 2015年12月31日
基于安全需求分析的内核保护方法研究
国家自然科学基金
2+阅读 · 2015年12月31日
千万自由度量级并行有限元模态和振动分析软件研发
国家自然科学基金
0+阅读 · 2014年12月31日
隐写模糊安全性测度及其优化嵌入算法研究
国家自然科学基金
0+阅读 · 2014年12月31日
FrameRef: A Framing Dataset and Simulation Testbed for Modeling Bounded Rational Information Health
Arxiv
0+阅读 · 2月17日
Batch-CAM: Introduction to better reasoning in convolutional deep learning models
Arxiv
0+阅读 · 2月13日
Fool Me If You Can: On the Robustness of Binary Code Similarity Detection Models against Semantics-preserving Transformations
Arxiv
0+阅读 · 2月13日
SecCodePRM: A Process Reward Model for Code Security
Arxiv
0+阅读 · 2月11日
ASIDE: Architectural Separation of Instructions and Data in Language Models
Arxiv
0+阅读 · 2月9日
Harmonia: Algorithm-Hardware Co-Design for Memory- and Compute-Efficient BFP-based LLM Inference
Arxiv
0+阅读 · 2月4日
HAMLOCK: HArdware-Model LOgically Combined attacK
Arxiv
0+阅读 · 2月2日
YASA: Scalable Multi-Language Taint Analysis on the Unified AST at Ant Group
Arxiv
0+阅读 · 1月24日
XuanJia: A Comprehensive Virtualization-Based Code Obfuscator for Binary Protection
Arxiv
0+阅读 · 1月15日
DepRadar: Agentic Coordination for Context Aware Defect Impact Analysis in Deep Learning Libraries
Arxiv
0+阅读 · 1月14日
VIP会员
文章信息
前往arXiv
下载PDF
相关主题
分析
二进制程序
工具
系统
动态污点分析
相关VIP内容
《深度文本哈希综述:基于二进制表示的高效语义文本检索》
《深度文本哈希综述:基于二进制表示的高效语义文本检索》
专知会员服务
9+阅读 · 2025年11月3日
【博士论文】《通过提前退出算法加速大语言模型推理》
【博士论文】《通过提前退出算法加速大语言模型推理》
专知会员服务
13+阅读 · 2025年9月9日
人机协作《编队系统中不安全协作控制的系统理论分析》
人机协作《编队系统中不安全协作控制的系统理论分析》
专知会员服务
23+阅读 · 2024年11月23日
《使用大语言模型(LLM)对安全作战中心的威胁情报分析工作流程实现自动化》
《使用大语言模型(LLM)对安全作战中心的威胁情报分析工作流程实现自动化》
专知会员服务
33+阅读 · 2024年8月2日
推荐!《联合全域指挥与控制(JADC2)先进技术的虚拟系统簇分析》2023最新论文,BAE系统公司
推荐!《联合全域指挥与控制(JADC2)先进技术的虚拟系统簇分析》2023最新论文,BAE系统公司
专知会员服务
127+阅读 · 2023年6月18日
推荐!《不确定性下的作战决策:推理、序贯和对抗性方法》美国空军293页博士论文,含代码
推荐!《不确定性下的作战决策:推理、序贯和对抗性方法》美国空军293页博士论文,含代码
专知会员服务
250+阅读 · 2022年11月15日
《H4rm0ny:用于规避恶意软件生成和检测的多智能体学习的竞争性两人零和马尔可夫博弈》2022最新12页论文,加拿大国防研究与发展部
《H4rm0ny:用于规避恶意软件生成和检测的多智能体学习的竞争性两人零和马尔可夫博弈》2022最新12页论文,加拿大国防研究与发展部
专知会员服务
26+阅读 · 2022年10月26日
【书籍】网络安全《移动目标防御 II:博弈论和对抗性建模的应用》210页,Moving Target Defense II:Application of Game Theory and Adversarial Modeling
【书籍】网络安全《移动目标防御 II:博弈论和对抗性建模的应用》210页,Moving Target Defense II:Application of Game Theory and Adversarial Modeling
专知会员服务
66+阅读 · 2022年4月14日
内存计算研究进展
专知会员服务
29+阅读 · 2021年2月26日
【O'Reilly TensorFlow Conference 2019】恶意软件检测(Generative malware outbreak detection),Sean Park | Trend Micro
【O'Reilly TensorFlow Conference 2019】恶意软件检测(Generative malware outbreak detection),Sean Park | Trend Micro
专知会员服务
15+阅读 · 2019年11月13日
热门VIP内容
相关资讯
【蜂群无人机控制关键技术】《基于深度学习进行无线电信号和协议分类以自动发现波形漏洞》2022最新102页报告,美国空军研究实验室
【蜂群无人机控制关键技术】《基于深度学习进行无线电信号和协议分类以自动发现波形漏洞》2022最新102页报告,美国空军研究实验室
专知
69+阅读 · 2022年12月3日
推荐!《不确定性下的作战决策:推理、序贯和对抗性方法》美国空军293页博士论文,含代码
推荐!《不确定性下的作战决策:推理、序贯和对抗性方法》美国空军293页博士论文,含代码
专知
47+阅读 · 2022年11月16日
【硬核书】Linux核心编程|Linux Kernel Programming,741页pdf
【硬核书】Linux核心编程|Linux Kernel Programming,741页pdf
专知
13+阅读 · 2021年3月26日
【干货书-斯坦福】最优化算法,521页pdf,《Algorithms for Optimization》MIT出版社
【干货书-斯坦福】最优化算法,521页pdf,《Algorithms for Optimization》MIT出版社
专知
58+阅读 · 2020年7月2日
这个项目火了!各种深度学习架构,模型和技巧的集合
这个项目火了!各种深度学习架构,模型和技巧的集合
大数据技术
14+阅读 · 2019年6月13日
集多种半监督学习范式为一体,谷歌新研究提出新型半监督方法 MixMatch
集多种半监督学习范式为一体,谷歌新研究提出新型半监督方法 MixMatch
机器之心
11+阅读 · 2019年6月3日
【学界】DeepMind论文:深度压缩感知,新框架提升GAN性能
【学界】DeepMind论文:深度压缩感知,新框架提升GAN性能
GAN生成式对抗网络
14+阅读 · 2019年5月23日
【探索框架本源】开源中文书《TensorFlow内核剖析》,335页pdf
【探索框架本源】开源中文书《TensorFlow内核剖析》,335页pdf
专知
21+阅读 · 2018年12月22日
最新|深度离散哈希算法,可用于图像检索!
最新|深度离散哈希算法,可用于图像检索!
全球人工智能
14+阅读 · 2017年12月15日
今日头条推荐系统架构演进之路
今日头条推荐系统架构演进之路
QCon
32+阅读 · 2017年6月21日
相关论文
FrameRef: A Framing Dataset and Simulation Testbed for Modeling Bounded Rational Information Health
Arxiv
0+阅读 · 2月17日
Batch-CAM: Introduction to better reasoning in convolutional deep learning models
Arxiv
0+阅读 · 2月13日
Fool Me If You Can: On the Robustness of Binary Code Similarity Detection Models against Semantics-preserving Transformations
Arxiv
0+阅读 · 2月13日
SecCodePRM: A Process Reward Model for Code Security
Arxiv
0+阅读 · 2月11日
ASIDE: Architectural Separation of Instructions and Data in Language Models
Arxiv
0+阅读 · 2月9日
Harmonia: Algorithm-Hardware Co-Design for Memory- and Compute-Efficient BFP-based LLM Inference
Arxiv
0+阅读 · 2月4日
HAMLOCK: HArdware-Model LOgically Combined attacK
Arxiv
0+阅读 · 2月2日
YASA: Scalable Multi-Language Taint Analysis on the Unified AST at Ant Group
Arxiv
0+阅读 · 1月24日
XuanJia: A Comprehensive Virtualization-Based Code Obfuscator for Binary Protection
Arxiv
0+阅读 · 1月15日
DepRadar: Agentic Coordination for Context Aware Defect Impact Analysis in Deep Learning Libraries
Arxiv
0+阅读 · 1月14日
相关基金
基于智能模糊测试的深度漏洞挖掘技术研究
国家自然科学基金
4+阅读 · 2017年12月31日
基于学习的智能化漏洞挖掘关键技术研究
国家自然科学基金
6+阅读 · 2017年12月31日
面向安全关键系统的时间可预测多核代码生成方法研究
国家自然科学基金
0+阅读 · 2015年12月31日
“非对称多通道”异质、异构内存系统架构及“启发式”混合内存资源管理机制的研究
国家自然科学基金
0+阅读 · 2015年12月31日
高准度二代测序比对算法
国家自然科学基金
3+阅读 · 2015年12月31日
弹体侵彻混凝土的FEM-SPH耦合算法研究
国家自然科学基金
0+阅读 · 2015年12月31日
面向二进制程序的静态结构化符号执行与动态组合方法研究
国家自然科学基金
0+阅读 · 2015年12月31日
基于安全需求分析的内核保护方法研究
国家自然科学基金
2+阅读 · 2015年12月31日
千万自由度量级并行有限元模态和振动分析软件研发
国家自然科学基金
0+阅读 · 2014年12月31日
隐写模糊安全性测度及其优化嵌入算法研究
国家自然科学基金
0+阅读 · 2014年12月31日
Top
微信扫码咨询专知VIP会员
Top