М. А. Климушенкова, М. Г. Бакулин, В. А. Падарян, П. М. Довгалюк, Н. И. Фурсова, И. А. Васильев, “О некоторых ограничениях полносистемного анализа помеченных данных”, Труды ИСП РАН, 2016, том 28, выпуск 6,страницы 11

Эта публикация цитируется в 1 статье

О некоторых ограничениях полносистемного анализа помеченных данных

М. А. Климушенкова^a, М. Г. Бакулин^b, В. А. Падарян^bc, П. М. Довгалюк^a, Н. И. Фурсова^a, И. А. Васильев^a

^a Новгородский государственный университет имени Ярослава Мудрого
^b Институт системного программирования РАН
^c Московский государственный университет имени М.В. Ломоносова

Аннотация: Анализ помеченных данных неоднократно пытались применять для исследования безопасности бинарного кода, но все попытки наталкивались на ряд нерешенных вопросов. В данной работе рассматриваются ограничения анализа помеченных данных на уровне бинарного кода, когда он проводится в рамках всей системы. Предлагается подход, способный преодолеть такие ограничения, как высокие накладные расходы на анализ, разрыв в уровне абстракций бинарного и исходного кода и сложности переноса на другие процессорные архитектуры и ОС. Подход позволяет смягчить негативное влияние недостаточной и избыточной помеченности. В подходе используется полносистемный эмулятор, использующий бинарную трансляцию. Возможности анализа помеченных данных обеспечиваются тремя встроенными в эмулятор механизмами: детерминированным воспроизведением, плагинами инстроспекции ВМ и инструментированием промежуточного представления. Приводятся экспериментальные результаты, показывающие лучшую скорость работы в сравнении с аналогичными программными инструментами.

Ключевые слова: анализ помеченных данных, динамический анализ, QEMU.

DOI: 10.15514/ISPRAS-2016-28(6)-1