技術領域

本發明屬于二進制逆向工程和信息安全技術領域，特別涉及一種基于樹結構的密碼算法邏輯表達式識別方法。

背景技術

隨著計算機科學技術及網絡通信技術的飛速發展，社會進入了信息時代，人們通過計算機網絡交換信息的頻率越來越高，在信息化的過程中，信息交換在廣度和深度上的發展也使得信息交換過程中的信息安全越來越被人們所關注。信息的保密通信、安全存貯、完整性保護、鑒別、簽名和驗證等都離不開密碼算法的使用，密碼算法是信息保密技術的核心；尤其在軍事領域中，密碼算法的安全性有著不可估量的重要作用；此外，一些惡意軟件也采用密碼算法的加密機制對其惡意行為進行隱藏；因此，對目標二進制文件中的加解密模塊進行逆向解析，進而理解其組成狀況及運行機制，在安全性分析、惡意軟件查找等方面有著重要意義。

軟件系統中的加解密模塊通常由幾個密碼算法有機組成，采用逆向分析技術（反匯編、反編譯等）識別軟件系統所采用的密碼算法，并對其位置進行定位，使分析工作更具有針對性，從而提高分析工作的準確性和效率，因此識別軟件系統的密碼算法具有重要作用和意義。

傳統的密碼算法識別通過構建靜態特征碼庫，來對目標文件進行匹配，以常用的密碼算法AES（American?Encryption?Standard）為例，其算法實現時通常會用到一個固定的S盒，來實現明文分組的替換。這種方法程序實現比較簡單，檢測效率較高（二進制碼匹配），然而存在一定的局限性：首先，這種方法需要對密碼算法實現時用到的常數特征進行收集，并構建特征庫，不能應對變形算法以及未使用常數特征的算法；其次，密碼算法靜態特征碼通常用在初始化階段，找到密碼核心函數還需要進一步手動分析。

另一種方法是針對密碼函數統計特征進行判別，這種方法在對目標程序反匯編的基礎上，根據密碼算法使用的邏輯運算、算術運算等指令頻次，在對大量目標程序訓練后，采用Bayes決策、神經網絡等分類模型進行判別。這種方法具有一定的局限性：首先需要進行數據訓練，訓練集合的大小以及訓練的合理性直接決定判定結果；其次，判別結果只能篩選出疑似密碼核心函數，不能標注具體算法名稱，結果需要人工進一步分析；另外，一些邏輯操作和算術操作比較多的非密碼函數會被誤判為密碼函數。

此外，隨著Windows平臺下的動態分析技術不斷發展和完善，也出現了一些密碼算法動態識別方法，但是由于動態跟蹤需要記錄大量的數據，識別效率是其最大的瓶頸。

發明內容

本發明針對現有技術不足，為了提高密碼算法識別的準確性和效率，縮短密碼函數分析周期，提出一種基于樹結構的密碼算法邏輯表達式識別方法。

本發明所采用的技術方案：

一種基于樹結構的密碼算法邏輯表達式識別方法，通過下述步驟識別密碼算法及密碼函數：

1）通過研究不同密碼算法的實現原理，抽取出密碼算法實現中所使用的邏輯表達式LE（Logic?Expression），采用樹形結構存儲到密碼算法邏輯表達式特征數據庫T_character中；

2）對待識別的目標程序進行反匯編分析，得到目標程序的函數序列P<F₁,F₂…F_n>，對函數F_i進行局部（基本塊內）數據流分析，構建僅含有邏輯操作的抽象語法樹集合F_i<T₁,T₂…T_m>，即目標模式樹；其中m是抽象語法樹個數，n是函數個數；

3）根據密碼算法邏輯表達式特征數據庫T_characte，使用樹結構的匹配算法M(T_target,T_character)，對目標程序的函數F_i抽象語法樹集合進行匹配，并記錄匹配結果；

4）重復第3步，直到所有函數完成匹配；

5）對匹配結果進行梳理，標注的信息主要有：函數名（Function_Name）、密碼算法名稱（CA_Name）、邏輯表達式的內容（LE_Content）、LE在文件中的偏移地址（LE_Address）。

所述的基于樹結構的密碼算法邏輯表達式識別方法，采用模式樹構建算法PTCA（Pattern?Tree?Create?Algorithm），構建密碼算法邏輯表達式特征數據庫T_character，具體流程如下：