spedi

Spedi هو مفكك تخميني لـ Thumb ISA ذو الحجم المتغير. بالنظر إلى ملف ELF كمدخل، يمكن لـ Spedi:

• استعادة تعليمات التجميع الصحيحة.
• استعادة أهداف جداول القفزات التبديلية.
• تحديد الوظائف في الثنائي والرسم البياني للاتصال بهم.

يعمل Spedi مباشرة على الملف الثنائي دون استخدام معلومات الرمز. لقد وجدنا أن Spedi يتفوق على IDA Pro في تجاربنا.

يستعيد Spedi جميع الكتل الأساسية (BBs) الممكنة المتوفرة في الملف الثنائي. يتم تجميع BBs التي تشترك في نفس تعليمات القفز في كتلة قصوى واحدة (MB). بعد ذلك، يتم تنقيح MBs باستخدام تحليل التداخل وتضارب CFG. يمكن العثور على التفاصيل في ورقتنا البحثية رقم 16 بعنوان " التفكيك التأملي للشفرة الثنائية ". الورقة متاحة هنا .

يستعيد Spedi (تقريبًا) تعليمات التجميع بشكل مثالي من الثنائيات المرجعية لدينا بمتوسط ​​99.96%. بالمقارنة، يتمتع IDA Pro بمتوسط ​​95.83% منحرفًا بسبب الأداء الضعيف نسبيًا على معيار sha .

يستعيد Spedi بدقة 97.46% من الوظائف في المتوسط. أي أنه يحدد عنوان البداية وعنوان النهاية الصحيحين. قارن ذلك بمتوسط ​​40.53% الذي حققته IDA Pro.

من الخصائص الرائعة لتقنيتنا أنها سريعة أيضًا وتتدرج بشكل جيد مع زيادة الحجم القياسي. على سبيل المثال، يقوم spedi بتفكيك du (تعليمات 50 ألفًا) في حوالي 150 مللي ثانية. لاحظ أن هناك مجالًا جيدًا لمزيد من التحسينات.

للاستشهاد بـ Spedi في عمل أكاديمي، يرجى استخدام:

 @inproceedings{BenKhadraSK2016,
 author = {Ben Khadra, M. Ammar and Stoffel, Dominik and Kunz, Wolfgang},
 title = {Speculative Disassembly of Binary Code},
 booktitle = {Proceedings of the International Conference on Compilers, Architectures and Synthesis for Embedded Systems},
 year = {2016},
 location = {Pittsburgh, Pennsylvania},
 articleno = {16},
 doi = {10.1145/2968455.2968505},
 acmid = {2968505},
 publisher = {ACM},
}

أنشئ المشروع وجربه على أحد الثنائيات الموجودة في مجموعة المعايير المتوفرة لدينا في هذا المستودع.

سيوجه الأمر التالي spedi لتفكيك قسم .text بشكل تخميني،

$ ./spedi -t -s -f $FILE > speculative.inst

استخدم الأمر التالي لتفكيك قسم .text استنادًا إلى رموز تعيين كود ARM التي توفر الحقيقة الأساسية حول التعليمات الصحيحة،

$ ./spedi -t -f $FILE > correct.inst

أسهل طريقة لمقارنة كلا الناتجين هي باستخدام،

$ diff -y correct.inst speculative.inst | less

حاليًا، تحتاج إلى تعديل main.cpp يدويًا لإظهار النتائج المتعلقة بجدول التبديل واسترداد الرسم البياني للاستدعاء.

هذه الأداة هي إثبات أكاديمي للمفهوم. حاليا، ليس على قائمة أولوياتنا. ومع ذلك، هناك بعض الميزات التي نضعها في اعتبارنا للمستقبل، وهي:

• الوضع المختلط ARM/التفكيك الإبهام . الفكرة العامة للتفكيك التأملي
  يوفر الإطار للقيام بذلك. في الأساس، يحتاج المرء إلى تفكيك منطقة التعليمات البرمجية مرتين بشكل تخميني. مرة واحدة في وضع الإبهام، ومرة ​​ثانية في وضع ARM. وفي وقت لاحق، يجب تحليل تعليمات تبديل الوضع (أساسًا bx و blx ). توفر هذه الورقة بعض التفاصيل ذات الصلة.
• دعم x86/x64 . الإبهام وISA المشابه لـ RISC لهما تباين محدود. بشكل أساسي، يمكن أن يكون عرض التعليمات 2 أو 4 بايت. نحن بحاجة إلى دفع التحدي إلى أبعد من ذلك من خلال دعم x86/x64. ولتحقيق هذه الغاية، قد يمتد تحليل التداخل إلى أكثر من 2 ميغابايت مما يزيد الأمور تعقيدًا. بنية بيانات Maximal Block الحالية ليست فعالة للقيام بذلك.
• إعادة البناء . يقترن الكود بإحكام بقارئ ELF الخاص بنا. كما أنه خاص بـ Thumb ISA. نحتاج إلى جعله أكثر نمطية لدعم معايير ISA والتنسيقات الثنائية الأخرى.
• قارئ ELF : يعتمد قارئ ELF الخاص بنا على libelfin. نحن نرث بعض مشاكل تسرب الذاكرة. بالإضافة إلى ذلك، قد يتعطل القارئ في الثنائيات التي تحتوي على معلومات تصحيح DWARF. يجب معالجة هذه المشكلات إما في المنبع أو مباشرة هنا.

في الآونة الأخيرة، أندريس وآخرون. آل. لقد تم العمل على Nucleus ، وهي أداة لتحديد الوظائف في ثنائيات x64. تم قبول ورقتهم البحثية " كشف الوظائف غير البرمجي في الثنائيات " في IEEE Euro S&P 2017. وهم يستخدمون تقريبًا نفس تقنيات تحديد الوظيفة المطبقة في Spedi. إذا كنت مهتمًا بدعم x64، فيمكنك إلقاء نظرة على أدواتهم.

ومع ذلك، لاحظ أن أداتهم تعتمد على افتراض أن المترجمين الحديثين لـ x64 يخصصون بيانات جدول الانتقال في قسم .rodata . وهذا يجعل استرداد التعليمات أسهل بكثير لأنه يمكن إجراؤه بشكل موثوق باستخدام عملية المسح الخطي. بالمقارنة، يتعامل Spedi مع الحالة الأكثر عمومية للتعليمات البرمجية/البيانات المختلطة باستخدام التفكيك التخميني.

يعتمد هذا المشروع على مكتبة التفكيك Capstone (الإصدار 3.0.4).