[发明专利]一种基于插桩的基本块粒度下工控协议语法逆向分析方法

权利要求书

1.一种基于插桩的基本块粒度下工控协议语法逆向分析方法，其特征在于，包括以下步骤：

S1：对工控协议的二进制可执行程序进行插桩，获取指令及函数粒度的运行时信息，将网络接收函数接收的协议报文数据标记为污点源数据；记录污点源数据及后续污点数据的污点状态信息，在程序运行过程中，依据污点传播规则，追踪污点数据在内存和寄存器中的传播情况，获取协议报文数据和程序上下文的关系。

S2：对函数粒度进行插桩，获取函数名称、函数进入和退出信息；对基本块粒度进行插桩，获取基本块入口地址和长度信息；对指令粒度的逻辑判断和条件跳转相关汇编指令进行插桩，用于标记逻辑边界。

S3：依据S1和S2设计的插桩方法，记录程序运行时上下文信息，形成格式化日志文件。

S4：对日志文件进行预处理，剔除网络接收函数不相关线程日志，并依据地址数据进行函数日志、基本块日志、指令日志的重排序。

S5：对预处理后日志文件进行分析，以逻辑判断和条件跳转指令为逻辑边界划分依据，将日志中记录的基本块序列划分为多个逻辑块，构建逻辑块和协议报文数据的关联关系，依据关联关系进行协议报文字段边界的划分，从而完成语法判别。

2.根据权利要求1所述的基于插桩的基本块粒度下工控协议语法逆向分析方法，其特征在于，所述步骤S1具体包括：

S11：对工控协议的二进制可执行程序进行插桩，具体使用程序插桩框架Pin进行指令粒度和函数粒度的插桩。

S12：对于函数粒度使用回调函数识别函数名称，进行Linux x86-64操作系统标准库网络接收函数recv、recvfrom、recvmsg的判断，并将其接收的工控协议报文数据标记为污点源数据。

S13：对污点源数据和后续传播的污点数据记录污点状态信息，包括污点数据对应的工控协议报文数据中字节偏移地址、数据长度、数据移位情况、数据是否被标记为污点状态。

S14：对于指令粒度使用回调函数识别指令的操作符和操作数，对于mov，add，or和移位指令，识别指令的操作数，如果操作数中存在污点数据，则更新污点数据信息。

S15：对于使用污点数据为操作数的指令，使用回调函数在日志文件中记录其汇编指令、操作数、污点数据信息。

3.根据权利要求1所述的基于插桩的基本块粒度下工控协议语法逆向分析方法，其特征在于，所述步骤S2具体包括：

S21：在函数进入和退出时进行函数名称、函数状态、线程ID、起始地址、结束地址和返回地址的记录；

S22：在跳转至新基本块时，进行基本块入口地址、基本块占用字节长度、线程ID信息的记录；

S23：针对每一条执行的指令进行字节码的反汇编，若指令为cmp、test或条件跳转相关指令，进行汇编指令、线程ID、指令长度信息的记录。

4.根据权利要求1所述的基于插桩的基本块粒度下工控协议语法逆向分析方法，其特征在于，所述步骤S3具体包括：依据S1和S2设计的插桩方法，在程序运行过程中将函数、基本块和指令粒度日志有序记录至txt格式日志文件中。

5.根据权利要求1所述的基于插桩的基本块粒度下工控协议语法逆向分析方法，其特征在于，所述步骤S4中，对日志文件进行预处理具体包括：剔除没有出现污点数据的线程ID对应的日志记录，包括指令、基本块和函数粒度；剔除系统调用函数的日志记录。

6.根据权利要求1所述的基于插桩的基本块粒度下工控协议语法逆向分析方法，其特征在于，所述步骤S4中，对日志进行重排序的具体规则为：函数的进入日志在相关基本块日志前、基本块日志在相关指令日志前、函数的退出日志在函数的返回指令日志后；将重排序后的日志记录输出到新的日志文件中。