本發明公開了一種基于動態污點分析對加密應用的明文提取的系統，包括污點數據源定位模塊、動態污點分析模塊、指令分析模塊和內存行為分析模塊，其中：污點數據源定位模塊，用于獲取系統調用中加密報文的內存地址，并對其進行污點數據源的標記；動態污點分析模塊，用于追蹤有污點標記的數據源，并從中逆向獲取對其進行操作的指令執行軌跡；指令分析模塊，用于解析指令執行軌跡，區分污點數據的報文解密和報文處理階段；內存行為分析模塊，用于獲取污點數據在報文解密階段進行寫操作且在報文處理階段進行讀操作的內存地址，并從該內存地址中提取解密后的明文信息。本發明通過在加密應用中提取明文信息，提高對加密應用的安全性監控。

技術領域

本發明涉及網絡安全技術領域，更具體地，涉及一種基于動態污點分析對加密應用的明文提取的系統。

背景技術

近年來，隨著互聯網的高速發展，應用程序每天成千上萬地出現，而為了通信安全，大部分客戶端的應用程序與服務器端之間又會使用加密協議。加密協議除了常見的、標準的應用層協議，比如HTTPS、SFTP，還出現大量私有加密協議。對于使用這些加密協議客戶端軟件的電腦用戶來說，他們并不知道其在后臺所處理的加密報文是什么，從而不知道其是否會有一些隱秘的動作，比如竊取電腦里面的個人隱私信息、自動下載某些有害的代碼和指向第三方網站等等，這些動作都是傷害到電腦用戶的切身利益。

因此，如果針對這些使用加密協議的客戶端軟件，能夠逆向解析出它所處理的加密報文的明文信息，這樣便可以對加密協議明文內容的分析和加密協議格式的逆向解析，從而提高對加密應用的安全性監控。

發明內容

本發明為克服上述現有技術所述的至少一種缺陷，提供一種基于動態污點分析對加密應用的明文提取的系統。

本發明旨在至少在一定程度上解決上述技術問題。

本發明的首要目的是提供一種對加密應用中逆向解析它的處理的加密報文的明文信息，以提高對加密應用的安全性監控。

為解決上述技術問題，本發明的技術方案如下：一種基于動態污點分析對加密應用的明文提取的系統，包括污點數據源定位模塊、動態污點分析模塊、指令分析模塊和內存行為分析模塊，其中：污點數據源定位模塊，用于攔截加密應用的系統調用，獲取系統調用中加密報文的內存地址，并對其進行污點數據源的標記；動態污點分析模塊，用于追蹤有污點標記的數據源，并從污點數據源中逆向獲取對其進行操作的指令執行軌跡；指令分析模塊，用于解析所獲取的對污點數據進行操作的指令執行軌跡，區分污點數據的報文解密和報文處理階段；內存行為分析模塊，用于根據加密調用指令中加密報文的內存讀寫行為信息，獲取污點數據在報文解密階段進行寫操作且在報文處理階段進行讀操作的內存地址，并從該內存地址中提取解密后的明文信息。

優選地，對有污點標記的數據源的追蹤包括源操作數為內存的污點追蹤、目的操作數為內存的污點追蹤、源操作數為寄存器的污點追蹤和目的操作數為寄存器的污點追蹤，所述動態污點分析模塊包括：源操作數為內存的判斷單元，用于判斷加密調用指令中源操作數是否包含加密報文的內存地址；源操作數為內存的污點追蹤單元，用于若源操作數為內存的判斷單元判斷為是，則進行源操作數為內存的污點追蹤；目的操作數為內存的判斷單元，用于若源操作數為內存的判斷單元判斷為否時，判斷加密調用指令中目的操作數是否包含加密報文的內存地址；目的操作數為內存的污點追蹤單元，用于若目的操作數為內存的判斷單元判斷為是，則進行目的操作數為內存的污點追蹤；源操作數為寄存器的判斷單元，用于若目的操作數為內存的判斷單元為否時，判斷加密調用指令中的源操作數是否為寄存器；源操作數為寄存器的污點追蹤單元，用于若源操作數為寄存器的判斷單元判斷為是，則進行源操作數為寄存器的污點追蹤；目的操作數為寄存器的判斷單元，用于若源操作數為寄存器的判斷單元判斷為否時，判斷加密調用指令中目的操作數是否為寄存器；目的操作數為寄存器的污點追蹤單元，用于若目的操作數為寄存器的判斷單元判斷為是，則進行目的操作數為寄存器的污點追蹤。