簡介：阿里云·云安全技術(shù)實驗室正式推出一款二進制函數(shù)符號識別引擎--Finger

阿里云·云安全技術(shù)實驗室正式推出一款二進制函數(shù)符號識別引擎--Finger，用戶可以通過A插件和python SDK兩種方式，識別二進制程序中得庫函數(shù)與常見得第三方函數(shù)，快速定位惡意代碼，提高樣本分析效率。

應(yīng)用程序靜態(tài)編譯后，代碼體積膨脹了幾十倍，然而真正得用戶邏輯代碼所占比例很低。下圖僅是一個簡單得測試程序，靜態(tài)鏈接得函數(shù)數(shù)量約為動態(tài)鏈接函數(shù)數(shù)量得65倍。這在二進制惡意代碼檢測領(lǐng)域中十分常見，惡意代碼與庫代碼雜糅在一起，極大地增加了安全研究人員得逆向分析難度，分析過程極為耗時。

#include <stdio.h>int main(){ printf("hello world\n"); return 0；}產(chǎn)品介紹

基于阿里云云安全中心在二進制檢測能力建設(shè)上多年得經(jīng)驗，以及人工智能在軟件安全領(lǐng)域中得實踐探索，阿里云·云安全技術(shù)實驗室立足于阿里云平臺得大數(shù)據(jù)分析能力，將可能知識和人工智能技術(shù)結(jié)合，提出一套二進制函數(shù)簽名算法，并將其集成于函數(shù)符號識別工具Finger中，免費向用戶開放。旨在推動二進制惡意代碼檢測領(lǐng)域得基礎(chǔ)能力建設(shè)，促進未知樣本發(fā)現(xiàn)、漏洞挖掘、二進制文件組成成分分析等研究領(lǐng)域得發(fā)展。

目前，F(xiàn)inger支持A插件和python SDK兩種使用方式。

通過pip安裝python SDK：

pip install finger_sdk

提示：安裝Finger得python得版本要與APython得版本一致。

使用示例如下：

# A Python# coding: utf-8import idcimport idaapiimport idautilsfrom finger_sdk import client, ida_funcimport platformdef recognize_functions(client): for func_ea in idautils.Functions(): pfn = idaapi.get_func(func_ea) func_name = idaapi.get_func_name(func_ea) func_feat = ida_func.get_func_feature(pfn.start_ea) if func_feat: func_id, res = client.recognize_function(func_feat) if res and res[func_id]: func_symbol = res[func_id] print("[+]Recognize %s: %s" %(func_name, func_symbol))def main(): url = "sec-lab.aliyun/finger/recognize/" headers = {'content-type': 'application/json'} timeout = 5 version = platform.python_version() if version.startswith('3'): ida_auto.auto_wait() my_client = client.Client(url, headers, timeout) recognize_functions(my_client) ida_pro.qexit(0) else: Wait() my_client = client.Client(url, headers, timeout) recognize_functions(my_client) Exit(0)if __name__ == "__main__": main()方式二：A插件

在方式一得基礎(chǔ)上，再將Finger A plugin復(fù)制到A安裝目錄得plugins目錄中。

Finger A插件支持單個函數(shù)、選中得多個函數(shù)和全部函數(shù)上傳，用戶可以在菜單欄、反匯編窗口和函數(shù)窗口進行函數(shù)符號識別。

菜單欄-Finger

反匯編窗口-Finger

函數(shù)窗口-Finger

成功識別得函數(shù)符號將在反匯編窗口和函數(shù)窗口高亮顯示。

基于阿里云平臺得大數(shù)據(jù)處理和分析能力，我們將阿里云海量樣本數(shù)據(jù)與已知信息得公開二進制文件融合，利用基于可能知識和AI得二進制函數(shù)簽名算法，從中提取函數(shù)簽名并將其入庫。目前函數(shù)簽名庫中已有億級得函數(shù)簽名與函數(shù)符號，且每天以百萬級得速度自動增長，這使得Finger可以自動迭代成長，降低了人工維護成本，并保證了Finger識別得準(zhǔn)確率。Finger目前已支持x86/ARM/MIPS架構(gòu)得32位/64位得ELF/PE文件得函數(shù)符號識別。

目前，F(xiàn)inger已作為基礎(chǔ)組件集成于阿里云云安全中心得多個安全產(chǎn)品中，并在日常工作中幫助團隊研究人員在樣本分析中快速定位惡意代碼。經(jīng)過數(shù)月阿里云平臺日均過百萬得海量樣本數(shù)據(jù)訓(xùn)練和測試，準(zhǔn)確率較高。

下圖得二進制程序樣本于上文產(chǎn)品背景中得測試程序，通過Finger進行函數(shù)符號識別，可將glibc中得庫函數(shù)精準(zhǔn)識別出來。

下圖是同屬于Skidmap木馬家族得兩個惡意樣本（樣本md5分別為
04b75469060b9a2aa986af3c1533c058和4ff73477a06a3412145d1a7e6d9ce4c9），其中04b75469060b9a2aa986af3c1533c058樣本靜態(tài)編譯沒有符號。

04b75469060b9a2aa986af3c1533c058 無符號4ff73477a06a3412145d1a7e6d9ce4c9 有符號

使用Finger對無符號得04b75469060b9a2aa986af3c1533c058進行函數(shù)符號識別，F(xiàn)inger成功恢復(fù)出了程序得主體邏輯：

將Finger得識別結(jié)果與有符號得4ff73477a06a3412145d1a7e6d9ce4c9進行對比，可以看到Finger得函數(shù)符號識別準(zhǔn)確率較高。利用Finger得函數(shù)符號識別能力，可以幫助安全研究人員快速地對未知樣本進行分類打標(biāo)。

下圖是一個sshd基礎(chǔ)軟件污染樣本（md5為eab14398a66bb088d0cfab4f7737c58d），使用Finger識別函數(shù)符號后，安全研究人員可以快速篩選出用戶邏輯代碼，從而定位惡意代碼。

感謝聲明：感謝內(nèi)容由阿里云實名注冊用戶自發(fā)貢獻，感謝歸原所有，阿里云開發(fā)者社區(qū)不擁有其著作權(quán)，亦不承擔(dān)相應(yīng)法律責(zé)任。具體規(guī)則請查看《阿里云開發(fā)者社區(qū)用戶服務(wù)協(xié)議》和《阿里云開發(fā)者社區(qū)知識產(chǎn)權(quán)保護指引》。如果您發(fā)現(xiàn)本社區(qū)中有涉嫌抄襲得內(nèi)容，填寫投訴表單進行舉報，一經(jīng)查實，本社區(qū)將立刻刪除涉嫌內(nèi)容。