[发明专利]一种二进制软件协议探测载荷的挖掘方法及装置

权利要求书

1.一种二进制软件协议探测载荷的挖掘方法，其特征在于，包括：

将由二进制字符构成的常规种子保存在常规种子集中；

将所述常规种子集中的常规种子经单字节变异后生成的变异种子和相应的所述常规种子分别在目标程序上运行，并根据所述变异种子和常规种子在目标程序上的运行差异，推测所述常规种子的污点信息；

将所述常规种子和推测得到的污点信息保存在待变异种子集中，并在所述常规种子集中不存在常规种子时，由所述待变异种子集中选择常规种子进行变异生成常规变异种子后，在所述目标程序上运行，并根据运行结果对所述常规变异种子进行相应处理；其中，所述相应处理包括：判断所述常规变异种子在所述目标程序上运行时，是否探测到了新的基本块；是，则将所述常规变异种子作为常规种子加入所述常规种子集；否，则将所述常规变异种子作为常规种子加入所述待变异种子集；

按照预定运行次数比例重复所述常规种子集或待变异种子集中的常规种子在所述目标程序上的运行，直至达到预设的停止条件后，将在所述目标程序上运行后得到返回报文的常规种子或常规变异种子作为所述目标程序的探测载荷。

2.根据权利要求1所述的二进制软件协议探测载荷的挖掘方法，其特征在于，所述根据所述变异种子和常规种子在目标程序上的运行差异，推测所述常规种子的污点信息，具体包括：

通过动态二进制插桩实时监控所述变异种子或常规种子在目标程序上运行时经过的CMP指令，并判断所述变异种子在目标程序上运行时是否经过了所述常规种子运行时未经过的CMP指令；

是，则将所述变异种子作为常规种子加入所述常规种子集；

否，则判断所述变异种子在所述目标程序上运行的CMP指令操作数与所述常规种子对应于所述变异种子的变异字节位处运行的CMP指令操作数是否相同；

是，则将所述常规种子在所述目标程序上再次运行，并在所述常规种子在所述目标程序上运行的CMP指令操作数与上次在所述目标程序上运行的CMP指令操作数不同时，判定所述变异字节位与CMP指令的执行无关；

否，则判定所述变异字节位对CMP指令的执行具有影响；其中，所述CMP指令指由与所述目标程序的二进制软件协议相关的基本块中提取的CMP指令。

3.根据权利要求2所述的二进制软件协议探测载荷的挖掘方法，其特征在于，所述由所述待变异种子集中选择常规种子进行变异生成常规变异种子，具体包括：

由所述待变异种子集中选择优先级最高的常规种子进行魔数字节变异、长度变异以及随机变异中的一种或多种；

其中，所述魔数字节变异指将所述变异种子中的对CMP指令的执行具有影响的变异字节位替换成受所述变异字节位影响的CMP指令的立即数。

4.根据权利要求3所述的二进制软件协议探测载荷的挖掘方法，其特征在于，所述常规种子的优先级根据所述常规种子在目标程序上运行经过的所述基本块到目标函数的距离、遍历基本块的频率，以及是否探测到新的基本块来决定。

5.一种二进制软件协议探测载荷的挖掘装置，其特征在于，包括：

保存单元，用于将由二进制字符构成的常规种子保存在常规种子集中；

污点推测单元，用于将所述常规种子集中的常规种子经单字节变异后生成的变异种子和相应的所述常规种子分别在目标程序上运行，并根据所述变异种子和常规种子在目标程序上的运行差异，推测所述常规种子的污点信息；

常规变异处理单元，用于将所述常规种子和推测得到的污点信息保存在待变异种子集中，并在所述常规种子集中不存在常规种子时，由所述待变异种子集中选择常规种子进行变异生成常规变异种子后，在所述目标程序上运行，并根据运行结果对所述常规变异种子进行相应处理；其中，所述相应处理包括：判断所述常规变异种子在所述目标程序上运行时，是否探测到了新的基本块；是，则将所述常规变异种子作为常规种子加入所述常规种子集；否，则将所述常规变异种子作为常规种子加入所述待变异种子集；

循环处理单元，用于按照预定运行次数比例重复所述常规种子集或待变异种子集中的常规种子在所述目标程序上的运行，直至达到预设的停止条件后，将在所述目标程序上运行后得到返回报文的常规种子或常规变异种子作为所述目标程序的探测载荷。