[发明专利]基于LLVM中间表示程序切片技术的无用变量检测方法

说明书

本发明公开一种基于LLVM中间表示程序切片的无用变量检测方法，从加入了无用变量的程序源代码开始，首先将源代码转化为LLVM中间表示的形式，接着利用程序切片技术对LLVM中间表示进行分析得到程序依赖图，之后对程序依赖图抽取和化简，得到变量距离图，最后设定距离阈值，在变量距离图上计算输出变量与其他变量的距离，判断源代码中是否存在无用变量。本发明能够有效检测出源代码中加入的无用变量，同时在检测不同语言的源代码时具有通用性。

技术领域

本发明涉及恶意代码分析技术领域，尤其是基于LLVM中间表示程序切片技术的无用变量检测方法。

背景技术

随着信息时代互联网技术的飞速发展，在人们的生活变得更加便捷和高效的同时，也使得网络使用者更加容易受到恶意代码的攻击。网络信息安全日益受到人们的重视，各种恶意代码分析方法被不断提出。为了增加分析恶意代码的难度，恶意代码的编写者往往会采用各种方法对代码进行保护，代码混淆是常用的方法之一。代码混淆技术的使用增加了逆向工程师分析代码的开销，也使恶意软件能够躲避安全工具的检测。

控制流混淆和数据流混淆是使用最广泛的代码混淆方法。前者通过各种手段对程序的控制流结构进行改变，在不改变程序执行结果的前提下，使程序的控制流变得复杂，难以被人分析和理解。后者对程序中的数据或数据结构进行转换，在不影响程序执行结果的条件下，将数据或数据结构转换成令人难以理解的形式，使反混淆者难以对程序中的数据进行分析。其中，插入无用变量是控制流混淆方法的一种，该方法在源程序中插入与程序执行结果无关的变量，从而阻碍反混淆者对代码进行分析。

国内外研究人员提出了各种代码反混淆方法。有论文提出一种面向逻辑的不透明谓词检测方法，通过构建一般的逻辑公式，代表不透明谓词的内在特性，通过符号执行与约束求解判断谓词是否不透明，并进一步还原程序控制流结构。有论文提出静态分析与动态分析相结合的方法，利用静态分析对动态分析的结果进行补充，在动态分析获得的控制流图上添加可能的控制流边，恢复被混淆代码的控制流图。有论文提出一种语义保留的程序转换方法，结合污点识别技术，能够从使用了不同混淆技术的代码中还原出程序的内部逻辑。

这些代码反混淆方法，虽然通过各种技术手段对控制流结构进行恢复，但既不能专门针对插入的无用变量进行分析，也不能对不同编程语言的被混淆代码进行统一分析。因此，通用、具有针对性的无用变量检测方法仍然需要进一步研究。

发明内容

本发明提出一种基于LLVM中间表示程序切片的无用变量检测方法。该方法从可能加入了无用变量的源代码出发，利用程序切片技术对源代码进行分析，检测出源代码中插入的无用变量，还原程序原始的控制流结构。该方法能够对不同语言编写的源代码进行统一分析，同时减少了人工分析开销，提高了检测效率。

本发明利用程序切片技术，对可能加入了无用变量的源代码进行分析，得到程序依赖图。通过对程序依赖图进行抽取和化简，构建变量距离图，并在图上计算变量间的距离。最终检测出插入到源代码中，和程序执行结果无关的变量。

该方法包含的步骤如下：

S1、获取可能插入了无用变量的源代码；

S2、在LLVM下将S1中的源代码转化为LLVM中间表示的形式；

S3、利用程序切片技术，对S2中得到的LLVM中间表示进行切片分析，得到程序依赖图；

S4、对程序依赖图进行抽取和化简，构建变量距离图；

S5、将源代码中变量数量n设定为变量距离阈值r，在变量距离图上计算其他变量与输出变量之间的距离d，如果dr，则认为是与程序执行结果无关的无用变量。

S2中所述将源代码转化为LLVM中间表示的形式通过clang编译器完成。

S4中构建变量距离图的过程为：