计算机工程

• 安全技术 • 上一篇    下一篇

一种结合动态与静态分析的函数调用图提取方法

孙贺,吴礼发,洪征,颜慧颖,张亚丰   

  1. (解放军理工大学 指挥信息系统学院,南京 210007)
  • 收稿日期:2016-02-18 出版日期:2017-03-15 发布日期:2017-03-15
  • 作者简介:孙贺(1990—),男,硕士研究生,主研方向为软件逆向工程、信息安全;吴礼发,教授、博士、博士生导师;洪征,副教授、博士;颜慧颖、张亚丰,硕士研究生。
  • 基金项目:
    江苏省自然科学基金(BK2011115,BK20131069)。

A Function Call Graph Extraction Method Combining Static and Dynamic Analysis

SUN He,WU Lifa,HONG Zheng,YAN Huiying,ZHANG Yafeng   

  1. (Institute of Command Information System,PLA University of Science and Technology,Nanjing 210007,China)
  • Received:2016-02-18 Online:2017-03-15 Published:2017-03-15

摘要: 完整准确地提取函数调用图是基于函数调用图进行恶意程序相似性分析的基础。为此,提出一种动静结合的恶意程序函数调用图提取方法。在对程序进行静态反汇编的基础上抽取恶意程序的可执行路径,使用隐藏信息主动发现策略找出恶意程序中隐藏的指令和函数调用,采用动态反馈机制完成动静结合分析过程中的信息同步。实验结果表明,该方法能够有效应对各种恶意程序反分析技术,完整准确地提取出恶意程序的函数调用图。

关键词: 恶意程序, 函数调用图, 控制流图, 静态分析, 动态分析

Abstract: Extracting a complete and accurate function call graph is the foundation of malware similarity analysis based on function call graph.This paper proposes a malware function call graph extraction method which integrates both dynamic and static analysis methods.It extracts executable path of malicious programs on the basis of static disassembly,and an active discovery strategy of hidden information is used to find out the hidden instructions and function calls in the malware.A dynamic feedback mechanism is used to ensure the information synchronization during the process of static and dynamic analysis.The experimental results show that the proposed method can deal with all kinds of reverse analysis technologies and extract a complete and accurate function call graph from malwares.

Key words: malware, function call graph, control flow graph, static analysis, dynamic analysis

中图分类号: