公开(公告)号：CN102012987B

公开(公告)日：2013-03-13

申请号：CN201010570299.6

申请日：2010-12-02

申请人： 李清宝

发明人： 李清宝 ,  张平 ,  曾光裕

IPC分类号： G06F21/56

摘要： 本发明涉及一种自动二进制恶意代码行为分析系统；该系统含有全系统模拟器、符号执行模块、路径解析模块、路径选择模块、恶意行为分析模块、控制流分析模块和有效输入集分析模块，符号执行模块发现二进制恶意代码中依赖于符号变量的分支后产生路径判定谓词逻辑；路径解析模块对路径判定谓词逻辑进行解析，并产生新的执行路径加入到路径存储池中；路径选择模块对路径存储池中的路径进行优先级设置；控制流分析模块生成并连续更新控制流图CFG；恶意行为分析模块提取关联代码段实现的恶意行为特征和结构特征；有效输入集分析模块找出使恶意行为程序按照特定路径执行的输入值集；本发明提供了一种高效的自动二进制恶意代码行为分析系统。

公开(公告)号：CN102073825A

公开(公告)日：2011-05-25

申请号：CN201110031214.1

申请日：2011-01-28

申请人： 李清宝

发明人： 李清宝 ,  牛小鹏 ,  张平 ,  徐冰

IPC分类号： G06F21/22

摘要： 本发明涉及一种基于路径驱动的可执行程序安全性检测方法及系统；基于路径驱动的可执行程序安全性检测方法为：首先根据系统的正常功能定义目标待分析程序的正常行为约束，然后采用静态程序分析和动态程序执行相结合的方法获得目标待分析程序完成系统正常功能所需要的最大工作闭环和冗余路径，最后，对冗余路径上的程序行为进行语义解释，根据系统正常行为约束判断冗余路径中是否存在针对该系统的恶意攻击行为；按照本发明的检测方法可以设计出基于路径驱动的可执行程序安全性检测系统；本发明可以大大减小安全分析人员的代码分析工作量。

公开(公告)号：CN102054142A

公开(公告)日：2011-05-11

申请号：CN201110031026.9

申请日：2011-01-28

申请人： 李清宝

发明人： 李清宝 ,  高洪博 ,  张平 ,  曾光裕

IPC分类号： G06F21/00

摘要： 本发明涉及一种硬件安全缺陷仿真与训练平台；硬件安全缺陷仿真与训练平台含有PC端调试终端和底层硬件，底层硬件含有处理器、通信模块、信息处理模块、固件芯片模块、可编程逻辑器件模块和无线收发模块，通信模块完成处理器与本地板卡的信息交互，信息处理模块用于对本地板卡接收的信息进行处理并发送相应的信息，固件芯片模块实现相应的安全缺陷行为，可编程逻辑器件模块中设置有恶意逻辑程序，无线收发模块用于发送和接收无线信号；本发明使得用户可以在平台上对给定的硬件安全缺陷进行仿真和训练研究，对硬件安全缺陷的存在形式、触发机制、表现形式等有直观感性的认识，为对硬件安全缺陷进一步的研究提供工程实践平台。

公开(公告)号：CN102054142B

公开(公告)日：2013-02-20

申请号：CN201110031026.9

申请日：2011-01-28

申请人： 李清宝

发明人： 李清宝 ,  高洪博 ,  张平 ,  曾光裕

IPC分类号： G06F21/00

摘要： 本发明涉及一种硬件安全缺陷仿真与训练平台；硬件安全缺陷仿真与训练平台含有PC端调试终端和底层硬件，底层硬件含有处理器、通信模块、信息处理模块、固件芯片模块、可编程逻辑器件模块和无线收发模块，通信模块完成处理器与本地板卡的信息交互，信息处理模块用于对本地板卡接收的信息进行处理并发送相应的信息，固件芯片模块实现相应的安全缺陷行为，可编程逻辑器件模块中设置有恶意逻辑程序，无线收发模块用于发送和接收无线信号；本发明使得用户可以在平台上对给定的硬件安全缺陷进行仿真和训练研究，对硬件安全缺陷的存在形式、触发机制、表现形式等有直观感性的认识，为对硬件安全缺陷进一步的研究提供工程实践平台。

公开(公告)号：CN102012987A

公开(公告)日：2011-04-13

申请号：CN201010570299.6

申请日：2010-12-02

申请人： 李清宝

发明人： 李清宝 ,  张平 ,  曾光裕

IPC分类号： G06F21/00

摘要： 本发明涉及一种自动二进制恶意代码行为分析系统；该系统含有全系统模拟器、符号执行模块、路径解析模块、路径选择模块、恶意行为分析模块、控制流分析模块和有效输入集分析模块，符号执行模块发现二进制恶意代码中依赖于符号变量的分支后产生路径判定谓词逻辑；路径解析模块对路径判定谓词逻辑进行解析，并产生新的执行路径加入到路径存储池中；路径选择模块对路径存储池中的路径进行优先级设置；控制流分析模块生成并连续更新控制流图CFG；恶意行为分析模块提取关联代码段实现的恶意行为特征和结构特征；有效输入集分析模块找出使恶意行为程序按照特定路径执行的输入值集；本发明提供了一种高效的自动二进制恶意代码行为分析系统。

公开(公告)号：CN102073825B

公开(公告)日：2013-02-20

申请号：CN201110031214.1

申请日：2011-01-28

申请人： 李清宝

发明人： 李清宝 ,  牛小鹏 ,  张平 ,  徐冰

IPC分类号： G06F21/52

摘要： 本发明涉及一种基于路径驱动的可执行程序安全性检测方法及系统；基于路径驱动的可执行程序安全性检测方法为：首先根据系统的正常功能定义目标待分析程序的正常行为约束，然后采用静态程序分析和动态程序执行相结合的方法获得目标待分析程序完成系统正常功能所需要的最大工作闭环和冗余路径，最后，对冗余路径上的程序行为进行语义解释，根据系统正常行为约束判断冗余路径中是否存在针对该系统的恶意攻击行为；按照本发明的检测方法可以设计出基于路径驱动的可执行程序安全性检测系统；本发明可以大大减小安全分析人员的代码分析工作量。