当前位置 >>  首页 >> 合作交流 >> 学术交流

人民大学系统与信息安全研究实验室副教授游伟到实验室做学术报告

撰稿: 摄影: 发布时间:2021年01月19日

  受中科院计算所计算机体系结构国家重点实验室武成岗老师的邀请,游伟老师于202117日到计算所进行交流,并在601会议室做了关于题为《PMP: Cost-effective Forced Execution with Probabilistic Memory Pre-planning》的技术报告,并与参会者展开讨论,报告还以腾讯视频会议的形式进行了线上直播,吸引了包括奇安信员工在内的多名安全相关从业人员参与。会议就恶意程序分析、强制执行等技术展开讨论。

  游伟博士,现为中国人民大学副教授。他在中国人民大学获得了博士学位,并在美国印第安纳大学和普度大学进行了博士后研究工作。游伟博士长期从事软件漏洞的自动化挖掘和二进制程序的动态/静态分析,在常见应用程序中挖掘出近百个安全漏洞,曝光了数百个恶意应用的隐蔽可疑行为。游伟博士在信息安全和软件工程领域国际顶级学术会议/期刊论文上发表论文十余篇,获得最佳论文奖一次,最佳应用安全论文提名奖一次。

  会上,游伟老师介绍了其发表在2020 IEEE Symposium on Security and Privacy 会议上的一个工作,”PMP: Cost-effective Forced Execution with Probabilistic Memory Pre-planning”。游伟老师首先介绍了现在的工业界所使用的一些恶意软件分析技术,以及这些技术遇到的困难,比如恶意软件需要一些特定的环境才能触发恶意功能,以及恶意软件自带一些抗分析功能等。强制执行(Forced Execution)是解决这些困难的一种有效的方法。强制执行通过把程序可执行文件中的条件跳转指令强制取taken/not taken分支的方式,使得程序控制流在不保证数据流正确的情况下强行经过某条路径,并按照路径深度优先的方式,不断探索路径上的分支节点,从而尽可能多地遍历整个程序的控制流,使得一些需要严苛条件才能触发的代码能够被执行到,从而暴露出程序的恶意行为。强制执行过程中一个很大的问题就是无法保证数据流的正确性,从而会导致大量的非预期的内存访问,使得程序崩溃。

  X-Force是一款强制执行工具,但是由于其需要追踪每一条指令、推理所有变量的别名关系,且当触发非法内存访问时,要进行动态的空间分配,修复非法内存访问可能造成的崩溃。因此X-Force进行强制执行的效率很低。游伟老师的工作”PMP”中提出了一种内存预分配策略,使得强制执行过程中不需要对每条指令进行追踪,也不需要进行动态的非法内存访问修复,也能保证强制执行过程崩溃较少,同时具有很高的执行效率。

  会议进行过程中,大家多次进行提问,就报告中提及的工作的诸多细节进行了详细的讨论,游伟老师一一解答了大家的疑惑。会议结束后,多名与会者与游伟老师进行了深入的交流。

附件下载: