SlideShare a Scribd company logo

TMPA-2015: The dynamic Analysis of Executable Code in ELF Format Based on Static Binary Instrumentation

Iosif Itkin, profile picture
Iosif Itkin

Документ рассматривает методы динамического анализа исполняемого кода в формате ELF с использованием статической бинарной инструментации. Описываются цели и подходы динамического анализа, задача обхода путей, а также практическая реализация статической инструментации. Приводятся примеры и результаты применения методов для автоматического обнаружения дефектов в программном обеспечении.

Science
1 of 30
Download to read offline
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
Динамический анализ исполняемого кода в формате ELF на основе статической бинарной инструментации Михаил Ермаков ИСП РАН, Москва Санкт-Петербург, 12.11.2015
2/29 Содержание ● Динамический анализ: цели и подходы ● Динамический анализ: задача обхода путей ● Статическая инструментация: подзадачи и методы решения ● Статическая инструментация: практическая реализация
3/29 Динамический анализ ● Исследование в рамках выполнения программы ● Отслеживание событий – Временные – Позиционные – Функциональные ● Проверка свойств ● Формирование статистики, трасс
4/29 Динамический анализ: подходы ● Аппаратные подходы ● Внешние программные средства ● Эмуляторы/виртуальные машины ● Инструментация: – исходного кода – статическая – динамическая
5 Динамический анализ: инструментация (1) ● Внедрение дополнительного кода, выполняющегося как побочный эффект ● Позволяет работать на уровне блоков инструкций ● Накладные расходы: – разбор – модификация – внедряемый код
6/29 Динамический анализ: инструментация (2) ● Динамическая – Во время выполнения – Точность выше – Локальная трансформация ● Статическая – Предварительно, независимо от среды выполнения – Точность ниже – Глобальная трансформация
7/29 Динамический анализ: статическая инструментация ● Позволяет манипулировать на низком уровне (+) ● Эффективна при многократных запусках (+) ● Интегрируема со статическим анализом бинарного кода (+) ● Чёткое ограничение модифицируемого кода (+/-) ● Нет прямого соотношения с выполняемым кодом (-)
8/29 Содержание ● Динамический анализ: цели и подходы ● Динамический анализ: задача обхода путей ● Статическая инструментация: подзадачи и методы решения ● Статическая инструментация: практическая реализация
9/29 Динамический анализ: автоматический обход путей ● Итеративное выполнение на различных наборах данных: – Отслеживание потока данных, зависимых от входных, — помеченных данных – Создание трассы операций потока помеченных данных в виде булевых формул (ограничений) – Модификация трассы и разрешение ограничений для создания новых наборов данных
10/29 Автоматический обход путей: поток помеченных данных (1) int x = read(...) int y = x; if (y < 0) do1(); else do2(); x : bitvector(32); y : bitvector(32); taint (x); assert (y = x); assert (y < 0 = true); ... // do1()
11/29 Автоматический обход путей: поток помеченных данных (2) x : bitvector(32); y : bitvector(32); taint (x); assert (y = x); assert (y < 0 = false); int x = read(...) int y = x; if (y < 0) do1(); else do2();
12/29 Автоматический обход путей: особенности задачи ● Повторные запуски ● Экспоненциальный рост числа путей ● Сложность задачи проверки выполнимости трассы ограничений
13/29 Содержание ● Динамический анализ: цели и подходы ● Динамический анализ: задача обхода путей ● Статическая инструментация: подзадачи и методы решения ● Статическая инструментация: практическая реализация
14/29 Статическая инструментация: последовательность действий ● Вход: (точка инструментации, код инструментации) ● Разбор исполняемого кода, инстанциация пар для спецификаций ● Генерация исполняемого кода инструментации в виде набора блоков ● Внедрение нового кода
15/29 Статическая инструментация: формат ELF ● Состоит из секций, обладающих виртуальным адресом — позицией в образе памяти ● Возможны относительные зависимости между секциями ● Возможны относительные зависимости внутри секций ● Секции объединяются в сегменты, возможность изменений ограничена Заголовок .hash .dynsym .dynstr .text .plt .got .dynamic ...
16/29 Статическая инструментация: внедрение кода (1) ● Решение: добавление инструментационного кода в виде дополнительных секций ● В точках инструментации — инструкции перехода в .text_s ● В конце блоков .text_s — инструкции обратного перехода ● Заменённые инструкции — перед концом блоков .text_s Заголовок .hash .dynsym .dynstr .text .plt .got .dynamic ... .text_s
17/29 Статическая инструментация: внедрение кода (2) .text А:Инструкция A B:Инструкция B … C:Инструкция C .text А:Переход B:Инструкция B … C:Инструкция C .text_s 1:Инструкция SS X:Инструкция X Y:Инструкция Y … Z:Инструкция Z 2:Инструкция SR 3:Инструкция A R:Переход .text_s 1:NOP X:Инструкция X Y:Инструкция Y … Z:Инструкция Z 2:NOP 3:NOP R:NOP SS — инструкция сохранения состояния SR — инструкция восстановления состояния NOP — «пустая» инструкция
18/29 Статическая инструментация: внедрение кода (3) • Возможные проблемы: 1)Инструкции в составе блоков 2)Инструкции зависят от позиции 3)Инструкции перехода больше по размеру • Решения: 1)Перенос блоков (разбиение по блокам .text_s) 2)Трансформация инструкций в эквивалентные 3)Перенос блоков
19/29 Статическая инструментация: оптимизация переходов (1) ● Расширение заменяемой инструкции до блока ● Объединение блоков инструментационного кода
20/29 Статическая инструментация: оптимизация переходов (2) .text А:Инструкция A ⇒ переход B:Инструкция B C:Инструкция C D:Инструкция D ⇒ переход E:Инструкция E .text_s Блок 1 1:Инструкция SS ... 2:Инструкция SR 3:Инструкция A 4:Инструкция B 5:Инструкция C R:Переход Блок 2 6:Инструкция SS ... 7:Инструкция SR 8:Инструкция D R:Переход
21/29 Статическая инструментация: коррекция зависимостей (1) ● Целевой исполняемый код — внешние зависимости X ● Инструментационный код — внешние зависимости Y ● Зависимость d∈Y, d∉X ⇒ необходимо расширить X ● Зависимость d Y, d X необходимо∈ ∈ ⇒ скорректировать d под X
22/29 Статическая инструментация: коррекция зависимостей (2) ● Информация о зависимостях — специальные секции (.rel.*, .plt, .got и др.) ● Добавление зависимостей — расширение секций ● Выставление зависимостей и корректировка смещений (аналогично компоновщику)
23/29 Содержание ● Динамический анализ: цели и подходы ● Динамический анализ: задача обхода путей ● Статическая инструментация: подзадачи и методы решения ● Статическая инструментация: практическая реализация
24/29 Практическая реализация: схема работы Спецификации модуля инструментации Объектный файл кода инструментации Исходный ARM ELF файл ARM ELF файл: расширение секций Код инструментации ARM ELF файл: коррекция зависимостей Код инструментации ARM ELF файл: полная инструментация Код инструментации objdump + gcc readelf + objcopy addsymbol rewriter
25/29 Практическая реализация: ограничения ● Поддержка только для ARM, Thumb-2 (ARMv7) ● Поддержка ограниченного количества типов точек инструментации ● Наличие таблицы символов для точности работы objdump (маркеры ARM/Thumb)
26/29 Практическая реализация: применение для анализа ● Инструмент Avalanche: автоматический обход путей и обнаружение дефектов ● tracegrind, covgrind: Valgrind ⇒ статика tracegrind Управляющий модуль covgrind STP программа + входные данные трасса выполнения программа + входные данные дефекты + значения эвристики наборы булевых ограничений новые наборы входных данных
27/29 Практическая реализация: результаты применения итерации дефекты (Tr + Cg)/STP статика динамика статика динамика статика динамика swfdump 575 105 4 1 72/28 87/13 mpeg2dec 302 55 1 1 37/63 89/11 cjpeg 1331 236 1 1 10/90 88/12 qtdump 1027 189 1 1 21/79 80/20 mpeg3dump 125 54 2 1 41/59 76/24
28/29 Направления дальнейших исследований ● Интеграция с системами статического анализа исполняемого кода (например, BAP) ● Поддержка дополнительных наборов инструкций ● Оптимизация структуры инструментационного кода
29/29 Спасибо за внимание!
30/29 [Nr] Name Addr Size [0] NULL 0 0 [1] .interp 10154 13 [2] .note.ABI­tag 10168 20 [3] .note.gnu.build­id 10188 24 [4] .hash 101ac 30 [5] .gnu.hash 101dc 34 [6] .dynsym 10210 70 [7] .dynstr 10280 4d [8] .gnu.version 102ce e [9] .gnu.version_r 102dc 20 [10] .rel.dyn 102fc 8 [11] .rel.plt 10304 30 [12] .init 10334 c [13] .plt 10340 5c [14] .text 1039c 1a0 [15] .fini 1053c 8 [16] .rodata 10544 4 [17] .ARM.exidx 10548 8 [18] .eh_frame 10550 4 [19] .init_array 20f04 4 [20] .fini_array 20f08 4 [21] .jcr 20f0c 4 [22] .dynamic 20f10 f0 [23] .got 21000 28 [24] .data 21028 8 [25] .bss 21030 8 [36] .shstrtab 0 170 [37] .symtab 0 7a0 [38] .strtab 0 3ae [Nr] Name Addr Size [0] NULL 0 0 [1] .interp 10154 13 [2] .note.ABI­tag 10168 20 [3] .note.gnu.build­id 10188 24 [4] .hash 101ac 30 [5] .gnu.hash 101dc 34 [6] .dynsym 10210 80 [7] .dynstr 1064c 65 [8] .gnu.version 10290 10 [9] .gnu.version_r 102ac 40 [10] .rel.dyn 102fc 8 [11] .init 102a0 c [12] .plt 10334 68 [13] .text 1039c 1a0 [14] .fini 1053c 8 [15] .rodata 10544 4 [16] .ARM.exidx 10548 8 [17] .eh_frame 10550 4 [18] .init_array 20f04 4 [19] .fini_array 20f08 4 [20] .jcr 20f0c 4 [21] .dynamic 10554 f8 [22] .got 21000 28 [23] .data 21028 8 [24] .bss 21030 8 [35] .rodata_s 21590 1000 [36] .text_s 2103c 554 [37] .got2 21038 4 [38] .rel.plt 23590 60 [39] .shstrtab 0 188 [40] .symtab 0 7d0 [41] .strtab 0 3ae

More Related Content

PDF
TMPA-2015: Formal Methods in Robotics
Iosif Itkin
 
PDF
TMPA-2015: Multi-Module Application Tracing in z/OS Environment
Iosif Itkin
 
PPTX
TMPA-2015: Standards and Standartization in Program Engineering. Why Would Yo...
Iosif Itkin
 
PDF
A Method of Building Extended Finite State Machines According to HDL-Descript...
Iosif Itkin
 
PDF
TMPA-2015: Automated Testing of Multi-thread Data Structures Solutions Lineri...
Iosif Itkin
 
PPTX
TMPA-2015: The Application of Static Analysis to Optimize the Dynamic Detecti...
Iosif Itkin
 
PDF
Test Set Generation Based on a Management Stream Model
Iosif Itkin
 
PPTX
TMPA-2013 Petrenko Pakulin: Technical Solutions and Non-Technical Challenges ...
Iosif Itkin
 
TMPA-2015: Formal Methods in Robotics
Iosif Itkin
 
TMPA-2015: Multi-Module Application Tracing in z/OS Environment
Iosif Itkin
 
TMPA-2015: Standards and Standartization in Program Engineering. Why Would Yo...
Iosif Itkin
 
A Method of Building Extended Finite State Machines According to HDL-Descript...
Iosif Itkin
 
TMPA-2015: Automated Testing of Multi-thread Data Structures Solutions Lineri...
Iosif Itkin
 
TMPA-2015: The Application of Static Analysis to Optimize the Dynamic Detecti...
Iosif Itkin
 
Test Set Generation Based on a Management Stream Model
Iosif Itkin
 
TMPA-2013 Petrenko Pakulin: Technical Solutions and Non-Technical Challenges ...
Iosif Itkin
 

What's hot (20)

PPTX
TMPA-2015: Automated process of creating test scenarios for financial protoco...
Iosif Itkin
 
PPTX
TMPA-2013 Itsykson: Java Program Analysis
Iosif Itkin
 
PDF
Static Analysis of Transactions Management in Applications for Java EE Platform
Iosif Itkin
 
PDF
Lightweight Static Analysis for Data Race Detection in Operating System Kernels
Iosif Itkin
 
PDF
TMPA-2015: Lexical analysis of dynamically formed string expressions
Iosif Itkin
 
PDF
Approaches to the Fragmentation of a Paravirtualization System
Iosif Itkin
 
PDF
The Analysis of Test Scenario Coverage for a UCM-Model
Iosif Itkin
 
PPT
TMPA-2015: Information Support System for Autonomous Spacecraft Control Macro...
Iosif Itkin
 
PPT
TMPA-2013 Senov: Applying OLAP and MapReduce Technologies for Performance Tes...
Iosif Itkin
 
PDF
TMPA-2015: Expanding the Meta-Generation of Correctness Conditions by Means o...
Iosif Itkin
 
PDF
TMPA-2013 Dmitry Zaitsev
Iosif Itkin
 
PDF
Testing of a Risk Control System Implementation for High-Load Exchange and Br...
Iosif Itkin
 
PDF
Service Robotics in Science and Education
Iosif Itkin
 
PDF
TMPA-2013 Vert Krikun: Finding Defects in C and C++ Pointers Using Static Ana...
Iosif Itkin
 
PPT
TMPA-2013 Smirnov
Iosif Itkin
 
PPT
20120309 formal semantics shilov_lecture04
Computer Science Club
 
PPTX
TMPA-2013: Shipin System-C Control Points
Iosif Itkin
 
PPTX
Применение статического анализа кода в преподавании и в разработке свободного ПО
Andrey Karpov
 
PPT
Anti-fraud solutions in RTB / Вадим Антонюк (IPONWEB)
Ontico
 
PDF
A runtime verification system for Software Defined Networks
Iosif Itkin
 
TMPA-2015: Automated process of creating test scenarios for financial protoco...
Iosif Itkin
 
TMPA-2013 Itsykson: Java Program Analysis
Iosif Itkin
 
Static Analysis of Transactions Management in Applications for Java EE Platform
Iosif Itkin
 
Lightweight Static Analysis for Data Race Detection in Operating System Kernels
Iosif Itkin
 
TMPA-2015: Lexical analysis of dynamically formed string expressions
Iosif Itkin
 
Approaches to the Fragmentation of a Paravirtualization System
Iosif Itkin
 
The Analysis of Test Scenario Coverage for a UCM-Model
Iosif Itkin
 
TMPA-2015: Information Support System for Autonomous Spacecraft Control Macro...
Iosif Itkin
 
TMPA-2013 Senov: Applying OLAP and MapReduce Technologies for Performance Tes...
Iosif Itkin
 
TMPA-2015: Expanding the Meta-Generation of Correctness Conditions by Means o...
Iosif Itkin
 
TMPA-2013 Dmitry Zaitsev
Iosif Itkin
 
Testing of a Risk Control System Implementation for High-Load Exchange and Br...
Iosif Itkin
 
Service Robotics in Science and Education
Iosif Itkin
 
TMPA-2013 Vert Krikun: Finding Defects in C and C++ Pointers Using Static Ana...
Iosif Itkin
 
TMPA-2013 Smirnov
Iosif Itkin
 
20120309 formal semantics shilov_lecture04
Computer Science Club
 
TMPA-2013: Shipin System-C Control Points
Iosif Itkin
 
Применение статического анализа кода в преподавании и в разработке свободного ПО
Andrey Karpov
 
Anti-fraud solutions in RTB / Вадим Антонюк (IPONWEB)
Ontico
 
A runtime verification system for Software Defined Networks
Iosif Itkin
 
Ad

Viewers also liked (18)

PDF
TMPA-2015: The Application of Parameterized Hierarchy Templates for Automated...
Iosif Itkin
 
PDF
TMPA-2015: Software Engineering Education: The Messir Approach
Iosif Itkin
 
PDF
TMPA-2015: Multi-Platform Approach to Reverse Debugging of Virtual Machines
Iosif Itkin
 
PPTX
TMPA-2015: Generation of Test Scenarios for Non Deterministic and Concurrent ...
Iosif Itkin
 
PPT
TMPA-2015: ClearTH: a Tool for Automated Testing of Post Trade Systems
Iosif Itkin
 
PDF
TMPA-2015: Implementing the MetaVCG Approach in the C-light System
Iosif Itkin
 
PDF
TMPA-2015: The Verification of Functional Programs by Applying Statechart Dia...
Iosif Itkin
 
PDF
TMPA-2015: Towards a Usable Defect Prediction Tool: Crossbreeding Machine Lea...
Iosif Itkin
 
PDF
TMPA-2015: A Need To Specify and Verify Standard Functions
Iosif Itkin
 
PPT
TMPA-2015: FPGA-Based Low Latency Sponsored Access
Iosif Itkin
 
PDF
TMPA-2015: Kotlin: From Null Dereference to Smart Casts
Iosif Itkin
 
PDF
TMPA-2017: The Quest for Average Response Time
Iosif Itkin
 
PDF
TMPA-2017: Evolutionary Algorithms in Test Generation for digital systems
Iosif Itkin
 
PDF
TMPA-2017: Modeling of PLC-programs by High-level Coloured Petri Nets
Iosif Itkin
 
PDF
TMPA-2017: A Survey of High-Performance Computing for Software Verification
Iosif Itkin
 
PDF
TMPA-2017: Layered Layouts for Software Systems Visualization
Iosif Itkin
 
PDF
TMPA-2017: Stemming Architectural Decay in Software Systems
Iosif Itkin
 
PDF
TMPA-2017: Functional Parser of Markdown Language Based on Monad Combining an...
Iosif Itkin
 
TMPA-2015: The Application of Parameterized Hierarchy Templates for Automated...
Iosif Itkin
 
TMPA-2015: Software Engineering Education: The Messir Approach
Iosif Itkin
 
TMPA-2015: Multi-Platform Approach to Reverse Debugging of Virtual Machines
Iosif Itkin
 
TMPA-2015: Generation of Test Scenarios for Non Deterministic and Concurrent ...
Iosif Itkin
 
TMPA-2015: ClearTH: a Tool for Automated Testing of Post Trade Systems
Iosif Itkin
 
TMPA-2015: Implementing the MetaVCG Approach in the C-light System
Iosif Itkin
 
TMPA-2015: The Verification of Functional Programs by Applying Statechart Dia...
Iosif Itkin
 
TMPA-2015: Towards a Usable Defect Prediction Tool: Crossbreeding Machine Lea...
Iosif Itkin
 
TMPA-2015: A Need To Specify and Verify Standard Functions
Iosif Itkin
 
TMPA-2015: FPGA-Based Low Latency Sponsored Access
Iosif Itkin
 
TMPA-2015: Kotlin: From Null Dereference to Smart Casts
Iosif Itkin
 
TMPA-2017: The Quest for Average Response Time
Iosif Itkin
 
TMPA-2017: Evolutionary Algorithms in Test Generation for digital systems
Iosif Itkin
 
TMPA-2017: Modeling of PLC-programs by High-level Coloured Petri Nets
Iosif Itkin
 
TMPA-2017: A Survey of High-Performance Computing for Software Verification
Iosif Itkin
 
TMPA-2017: Layered Layouts for Software Systems Visualization
Iosif Itkin
 
TMPA-2017: Stemming Architectural Decay in Software Systems
Iosif Itkin
 
TMPA-2017: Functional Parser of Markdown Language Based on Monad Combining an...
Iosif Itkin
 
Ad

Similar to TMPA-2015: The dynamic Analysis of Executable Code in ELF Format Based on Static Binary Instrumentation (20)

PPT
Развитие технологий генерации эксплойтов на основе анализа бинарного кода
Positive Hack Days
 
PPTX
Эффективный C++
Andrey Karpov
 
PDF
C++ весна 2014 лекция 2
Technopark
 
PDF
Как приручить дракона: введение в LLVM
Tech Talks @NSU
 
PDF
Tech Talks @NSU: Как приручить дракона: введение в LLVM
Tech Talks @NSU
 
PPTX
Технологии анализа бинарного кода приложений: требования, проблемы, инструменты
Positive Development User Group
 
PDF
«Статический анализ: гордость и предубеждения», Алексей Кузьменко, аналитик И...
Mail.ru Group
 
PDF
Team workflow
Даниил Зайцев
 
PDF
Practical Language for Extracting Data from Source Codes and Preparing Them f...
Denis Efremov
 
PPTX
Улучшение качества открытого программного обеспечения с помощью инструментов ...
Andrey Karpov
 
PPTX
Опыт разработки статического анализатора кода
Andrey Karpov
 
PDF
Трудности сравнения анализаторов кода или не забывайте об удобстве использования
Tatyanazaxarova
 
PPTX
Основы и применение статического анализа кода при разработке лекция 1
m2rus
 
PPTX
Принципы работы статического анализатора кода PVS-Studio
Andrey Karpov
 
PPTX
Расширяем идею статического анализа от проверки кода до других процессов разр...
Andrey Karpov
 
PPTX
Статический анализ кода: Что? Как? Зачем?
Andrey Karpov
 
PPTX
Алексей Баранцев -- Какое дело тестировщикам до исходного кода?
sqadays8
 
PPTX
Евгений Рыжков, Андрей Карпов Как потратить 10 лет на разработку анализатора ...
Platonov Sergey
 
PPTX
SAST и Application Security: как бороться с уязвимостями в коде
Andrey Karpov
 
PDF
static - defcon russia 20
DefconRussia
 
Развитие технологий генерации эксплойтов на основе анализа бинарного кода
Positive Hack Days
 
Эффективный C++
Andrey Karpov
 
C++ весна 2014 лекция 2
Technopark
 
Как приручить дракона: введение в LLVM
Tech Talks @NSU
 
Tech Talks @NSU: Как приручить дракона: введение в LLVM
Tech Talks @NSU
 
Технологии анализа бинарного кода приложений: требования, проблемы, инструменты
Positive Development User Group
 
«Статический анализ: гордость и предубеждения», Алексей Кузьменко, аналитик И...
Mail.ru Group
 
Team workflow
Даниил Зайцев
 
Practical Language for Extracting Data from Source Codes and Preparing Them f...
Denis Efremov
 
Улучшение качества открытого программного обеспечения с помощью инструментов ...
Andrey Karpov
 
Опыт разработки статического анализатора кода
Andrey Karpov
 
Трудности сравнения анализаторов кода или не забывайте об удобстве использования
Tatyanazaxarova
 
Основы и применение статического анализа кода при разработке лекция 1
m2rus
 
Принципы работы статического анализатора кода PVS-Studio
Andrey Karpov
 
Расширяем идею статического анализа от проверки кода до других процессов разр...
Andrey Karpov
 
Статический анализ кода: Что? Как? Зачем?
Andrey Karpov
 
Алексей Баранцев -- Какое дело тестировщикам до исходного кода?
sqadays8
 
Евгений Рыжков, Андрей Карпов Как потратить 10 лет на разработку анализатора ...
Platonov Sergey
 
SAST и Application Security: как бороться с уязвимостями в коде
Andrey Karpov
 
static - defcon russia 20
DefconRussia
 

More from Iosif Itkin (20)

PDF
Foundations of Software Testing Lecture 4
Iosif Itkin
 
PPTX
QA Financial Forum London 2021 - Automation in Software Testing. Humans and C...
Iosif Itkin
 
PDF
Exactpro FinTech Webinar - Global Exchanges Test Oracles
Iosif Itkin
 
PDF
Exactpro FinTech Webinar - Global Exchanges FIX Protocol
Iosif Itkin
 
PDF
Operational Resilience in Financial Market Infrastructures
Iosif Itkin
 
PDF
20 Simple Questions from Exactpro for Your Enjoyment This Holiday Season
Iosif Itkin
 
PDF
Testing the Intelligence of your AI
Iosif Itkin
 
PDF
EXTENT 2019: Exactpro Quality Assurance for Financial Market Infrastructures
Iosif Itkin
 
PDF
ClearTH Test Automation Framework: Case Study in IRS & CDS Swaps Lifecycle Mo...
Iosif Itkin
 
PPTX
EXTENT Talks 2019 Tbilisi: Failover and Recovery Test Automation - Ivan Shamrai
Iosif Itkin
 
PDF
EXTENT Talks QA Community Tbilisi 20 April 2019 - Conference Open
Iosif Itkin
 
PDF
User-Assisted Log Analysis for Quality Control of Distributed Fintech Applica...
Iosif Itkin
 
PPTX
QAFF Chicago 2019 - Complex Post-Trade Systems, Requirements Traceability and...
Iosif Itkin
 
PDF
QA Community Saratov: Past, Present, Future (2019-02-08)
Iosif Itkin
 
PDF
Machine Learning and RoboCop Testing
Iosif Itkin
 
PDF
Behaviour Driven Development: Oltre i limiti del possibile
Iosif Itkin
 
PDF
2018 - Exactpro Year in Review
Iosif Itkin
 
PPTX
Exactpro Discussion about Joy and Strategy
Iosif Itkin
 
PPTX
FIX EMEA Conference 2018 - Post Trade Software Testing Challenges
Iosif Itkin
 
PDF
BDD. The Outer Limits. Iosif Itkin at Youcon (in Russian)
Iosif Itkin
 
Foundations of Software Testing Lecture 4
Iosif Itkin
 
QA Financial Forum London 2021 - Automation in Software Testing. Humans and C...
Iosif Itkin
 
Exactpro FinTech Webinar - Global Exchanges Test Oracles
Iosif Itkin
 
Exactpro FinTech Webinar - Global Exchanges FIX Protocol
Iosif Itkin
 
Operational Resilience in Financial Market Infrastructures
Iosif Itkin
 
20 Simple Questions from Exactpro for Your Enjoyment This Holiday Season
Iosif Itkin
 
Testing the Intelligence of your AI
Iosif Itkin
 
EXTENT 2019: Exactpro Quality Assurance for Financial Market Infrastructures
Iosif Itkin
 
ClearTH Test Automation Framework: Case Study in IRS & CDS Swaps Lifecycle Mo...
Iosif Itkin
 
EXTENT Talks 2019 Tbilisi: Failover and Recovery Test Automation - Ivan Shamrai
Iosif Itkin
 
EXTENT Talks QA Community Tbilisi 20 April 2019 - Conference Open
Iosif Itkin
 
User-Assisted Log Analysis for Quality Control of Distributed Fintech Applica...
Iosif Itkin
 
QAFF Chicago 2019 - Complex Post-Trade Systems, Requirements Traceability and...
Iosif Itkin
 
QA Community Saratov: Past, Present, Future (2019-02-08)
Iosif Itkin
 
Machine Learning and RoboCop Testing
Iosif Itkin
 
Behaviour Driven Development: Oltre i limiti del possibile
Iosif Itkin
 
2018 - Exactpro Year in Review
Iosif Itkin
 
Exactpro Discussion about Joy and Strategy
Iosif Itkin
 
FIX EMEA Conference 2018 - Post Trade Software Testing Challenges
Iosif Itkin
 
BDD. The Outer Limits. Iosif Itkin at Youcon (in Russian)
Iosif Itkin
 

TMPA-2015: The dynamic Analysis of Executable Code in ELF Format Based on Static Binary Instrumentation

  • 1. Динамический анализ исполняемого кода в формате ELF на основе статической бинарной инструментации Михаил Ермаков ИСП РАН, Москва Санкт-Петербург, 12.11.2015
  • 2. 2/29 Содержание ● Динамический анализ: цели и подходы ● Динамический анализ: задача обхода путей ● Статическая инструментация: подзадачи и методы решения ● Статическая инструментация: практическая реализация
  • 3. 3/29 Динамический анализ ● Исследование в рамках выполнения программы ● Отслеживание событий – Временные – Позиционные – Функциональные ● Проверка свойств ● Формирование статистики, трасс
  • 4. 4/29 Динамический анализ: подходы ● Аппаратные подходы ● Внешние программные средства ● Эмуляторы/виртуальные машины ● Инструментация: – исходного кода – статическая – динамическая
  • 5. 5 Динамический анализ: инструментация (1) ● Внедрение дополнительного кода, выполняющегося как побочный эффект ● Позволяет работать на уровне блоков инструкций ● Накладные расходы: – разбор – модификация – внедряемый код
  • 6. 6/29 Динамический анализ: инструментация (2) ● Динамическая – Во время выполнения – Точность выше – Локальная трансформация ● Статическая – Предварительно, независимо от среды выполнения – Точность ниже – Глобальная трансформация
  • 7. 7/29 Динамический анализ: статическая инструментация ● Позволяет манипулировать на низком уровне (+) ● Эффективна при многократных запусках (+) ● Интегрируема со статическим анализом бинарного кода (+) ● Чёткое ограничение модифицируемого кода (+/-) ● Нет прямого соотношения с выполняемым кодом (-)
  • 8. 8/29 Содержание ● Динамический анализ: цели и подходы ● Динамический анализ: задача обхода путей ● Статическая инструментация: подзадачи и методы решения ● Статическая инструментация: практическая реализация
  • 9. 9/29 Динамический анализ: автоматический обход путей ● Итеративное выполнение на различных наборах данных: – Отслеживание потока данных, зависимых от входных, — помеченных данных – Создание трассы операций потока помеченных данных в виде булевых формул (ограничений) – Модификация трассы и разрешение ограничений для создания новых наборов данных
  • 10. 10/29 Автоматический обход путей: поток помеченных данных (1) int x = read(...) int y = x; if (y < 0) do1(); else do2(); x : bitvector(32); y : bitvector(32); taint (x); assert (y = x); assert (y < 0 = true); ... // do1()
  • 11. 11/29 Автоматический обход путей: поток помеченных данных (2) x : bitvector(32); y : bitvector(32); taint (x); assert (y = x); assert (y < 0 = false); int x = read(...) int y = x; if (y < 0) do1(); else do2();
  • 12. 12/29 Автоматический обход путей: особенности задачи ● Повторные запуски ● Экспоненциальный рост числа путей ● Сложность задачи проверки выполнимости трассы ограничений
  • 13. 13/29 Содержание ● Динамический анализ: цели и подходы ● Динамический анализ: задача обхода путей ● Статическая инструментация: подзадачи и методы решения ● Статическая инструментация: практическая реализация
  • 14. 14/29 Статическая инструментация: последовательность действий ● Вход: (точка инструментации, код инструментации) ● Разбор исполняемого кода, инстанциация пар для спецификаций ● Генерация исполняемого кода инструментации в виде набора блоков ● Внедрение нового кода
  • 15. 15/29 Статическая инструментация: формат ELF ● Состоит из секций, обладающих виртуальным адресом — позицией в образе памяти ● Возможны относительные зависимости между секциями ● Возможны относительные зависимости внутри секций ● Секции объединяются в сегменты, возможность изменений ограничена Заголовок .hash .dynsym .dynstr .text .plt .got .dynamic ...
  • 16. 16/29 Статическая инструментация: внедрение кода (1) ● Решение: добавление инструментационного кода в виде дополнительных секций ● В точках инструментации — инструкции перехода в .text_s ● В конце блоков .text_s — инструкции обратного перехода ● Заменённые инструкции — перед концом блоков .text_s Заголовок .hash .dynsym .dynstr .text .plt .got .dynamic ... .text_s
  • 17. 17/29 Статическая инструментация: внедрение кода (2) .text А:Инструкция A B:Инструкция B … C:Инструкция C .text А:Переход B:Инструкция B … C:Инструкция C .text_s 1:Инструкция SS X:Инструкция X Y:Инструкция Y … Z:Инструкция Z 2:Инструкция SR 3:Инструкция A R:Переход .text_s 1:NOP X:Инструкция X Y:Инструкция Y … Z:Инструкция Z 2:NOP 3:NOP R:NOP SS — инструкция сохранения состояния SR — инструкция восстановления состояния NOP — «пустая» инструкция
  • 18. 18/29 Статическая инструментация: внедрение кода (3) • Возможные проблемы: 1)Инструкции в составе блоков 2)Инструкции зависят от позиции 3)Инструкции перехода больше по размеру • Решения: 1)Перенос блоков (разбиение по блокам .text_s) 2)Трансформация инструкций в эквивалентные 3)Перенос блоков
  • 19. 19/29 Статическая инструментация: оптимизация переходов (1) ● Расширение заменяемой инструкции до блока ● Объединение блоков инструментационного кода
  • 20. 20/29 Статическая инструментация: оптимизация переходов (2) .text А:Инструкция A ⇒ переход B:Инструкция B C:Инструкция C D:Инструкция D ⇒ переход E:Инструкция E .text_s Блок 1 1:Инструкция SS ... 2:Инструкция SR 3:Инструкция A 4:Инструкция B 5:Инструкция C R:Переход Блок 2 6:Инструкция SS ... 7:Инструкция SR 8:Инструкция D R:Переход
  • 21. 21/29 Статическая инструментация: коррекция зависимостей (1) ● Целевой исполняемый код — внешние зависимости X ● Инструментационный код — внешние зависимости Y ● Зависимость d∈Y, d∉X ⇒ необходимо расширить X ● Зависимость d Y, d X необходимо∈ ∈ ⇒ скорректировать d под X
  • 22. 22/29 Статическая инструментация: коррекция зависимостей (2) ● Информация о зависимостях — специальные секции (.rel.*, .plt, .got и др.) ● Добавление зависимостей — расширение секций ● Выставление зависимостей и корректировка смещений (аналогично компоновщику)
  • 23. 23/29 Содержание ● Динамический анализ: цели и подходы ● Динамический анализ: задача обхода путей ● Статическая инструментация: подзадачи и методы решения ● Статическая инструментация: практическая реализация
  • 24. 24/29 Практическая реализация: схема работы Спецификации модуля инструментации Объектный файл кода инструментации Исходный ARM ELF файл ARM ELF файл: расширение секций Код инструментации ARM ELF файл: коррекция зависимостей Код инструментации ARM ELF файл: полная инструментация Код инструментации objdump + gcc readelf + objcopy addsymbol rewriter
  • 25. 25/29 Практическая реализация: ограничения ● Поддержка только для ARM, Thumb-2 (ARMv7) ● Поддержка ограниченного количества типов точек инструментации ● Наличие таблицы символов для точности работы objdump (маркеры ARM/Thumb)
  • 26. 26/29 Практическая реализация: применение для анализа ● Инструмент Avalanche: автоматический обход путей и обнаружение дефектов ● tracegrind, covgrind: Valgrind ⇒ статика tracegrind Управляющий модуль covgrind STP программа + входные данные трасса выполнения программа + входные данные дефекты + значения эвристики наборы булевых ограничений новые наборы входных данных
  • 27. 27/29 Практическая реализация: результаты применения итерации дефекты (Tr + Cg)/STP статика динамика статика динамика статика динамика swfdump 575 105 4 1 72/28 87/13 mpeg2dec 302 55 1 1 37/63 89/11 cjpeg 1331 236 1 1 10/90 88/12 qtdump 1027 189 1 1 21/79 80/20 mpeg3dump 125 54 2 1 41/59 76/24
  • 28. 28/29 Направления дальнейших исследований ● Интеграция с системами статического анализа исполняемого кода (например, BAP) ● Поддержка дополнительных наборов инструкций ● Оптимизация структуры инструментационного кода
  • 30. 30/29 [Nr] Name Addr Size [0] NULL 0 0 [1] .interp 10154 13 [2] .note.ABI­tag 10168 20 [3] .note.gnu.build­id 10188 24 [4] .hash 101ac 30 [5] .gnu.hash 101dc 34 [6] .dynsym 10210 70 [7] .dynstr 10280 4d [8] .gnu.version 102ce e [9] .gnu.version_r 102dc 20 [10] .rel.dyn 102fc 8 [11] .rel.plt 10304 30 [12] .init 10334 c [13] .plt 10340 5c [14] .text 1039c 1a0 [15] .fini 1053c 8 [16] .rodata 10544 4 [17] .ARM.exidx 10548 8 [18] .eh_frame 10550 4 [19] .init_array 20f04 4 [20] .fini_array 20f08 4 [21] .jcr 20f0c 4 [22] .dynamic 20f10 f0 [23] .got 21000 28 [24] .data 21028 8 [25] .bss 21030 8 [36] .shstrtab 0 170 [37] .symtab 0 7a0 [38] .strtab 0 3ae [Nr] Name Addr Size [0] NULL 0 0 [1] .interp 10154 13 [2] .note.ABI­tag 10168 20 [3] .note.gnu.build­id 10188 24 [4] .hash 101ac 30 [5] .gnu.hash 101dc 34 [6] .dynsym 10210 80 [7] .dynstr 1064c 65 [8] .gnu.version 10290 10 [9] .gnu.version_r 102ac 40 [10] .rel.dyn 102fc 8 [11] .init 102a0 c [12] .plt 10334 68 [13] .text 1039c 1a0 [14] .fini 1053c 8 [15] .rodata 10544 4 [16] .ARM.exidx 10548 8 [17] .eh_frame 10550 4 [18] .init_array 20f04 4 [19] .fini_array 20f08 4 [20] .jcr 20f0c 4 [21] .dynamic 10554 f8 [22] .got 21000 28 [23] .data 21028 8 [24] .bss 21030 8 [35] .rodata_s 21590 1000 [36] .text_s 2103c 554 [37] .got2 21038 4 [38] .rel.plt 23590 60 [39] .shstrtab 0 188 [40] .symtab 0 7d0 [41] .strtab 0 3ae