Среда анализа бинарного кода ТРАЛ. Детальное исследование бинарного кода любой сложности.

Область применения

В задачах анализа программного кода особую сложность представляют случаи, когда необходимо изучить свойства бинарного исполняемого кода. Среди сценариев, которые требуют решения такого рода задач, относятся:

• исследование вредоносного кода, в том числе в ситуациях, когда этот код не существует в виде отдельного исполняемого модуля;
• извлечение алгоритмов для повторного использования из программ и библиотек, исходный код которых утерян или не может быть заново скомпилирован из-за особенностей процесса сборки;
• интеграция программных компонент с закрытыми интерфейсами;
• отладка низкоуровневого кода, например, компонентов ОС и встраиваемого ПО.

Схема работы среды анализа бинарного кода ТРАЛ

В основе разработанного в Институте системного программирования РАН подхода к решению задач детального анализа бинарного кода лежит комбинация известных методов статического и динамического анализа. Подход реализован в среде анализа бинарного кода ТРАЛ и состоит из следующих шагов.

1. Сбор динамических профилей работы исследуемого ПО, которое выполняется в виртуальной машине.
2. Автоматическое повышение уровня представления профиля, собранного в ходе выполнения ПО: выделение обработчиков прерываний, разметка процессов и потоков выполнения, восстановление стеков вызовов, используемых библиотек, функций и значений параметров. Основным результатом этого этапа является последовательность связанных статических представлений, описывающих потоки данных и управления анализируемого кода.
3. Исследование восстановленных потоков данных и управления в рамках решения прикладных задач анализа. Среда расчитана на встраивание в технологические цепочки, где выполняет функции поставщика высокоуровневых данных, изначально отсутвствующих на уровне машинного кода. Помимо того, доступен графический интерфейс, рассчитанный на интерактивную работу человека с целью изучения и коррекции восстановленных высокоуровневых данных.
4.