第三方库检测方法总结

第三方库检测方法总结

库函数检测方法简要综述：

函数检测是一种二进制分析技术，将二进制代码分类为原始代码级别的函数相近的函数。用于二进制插桩、二值漏洞搜索、二元保护方案（包括流的完整性），以及帮助反向工程师分析代码区域间隔，推理复杂的二进制代码。目前的库函数识别技术中，主要包括白名单匹配方法、提取API级别的函数签名方法、字节码特征匹配方法、以及控制流图。

对于白名单匹配方法，最简单的是基于函数名字做匹配，但是由于函数名可以被轻易更改，因此不具有抵抗混淆的能力。函数名、参数名等可以被轻易更改，但是调用参数类型，返回值类型是不可修改的，因此，结合函数的这些固定的API特征，形成函数方法签名匹配方法。

Backes等人[1]提出了Pruned Method signatures，也就是对signatures在method级别进行必要的修剪。方法签名可以唯一确定这个函数，由方法名称和有序的参数列表组成。Backes等人在提取了方法签名后，去除函数名，参数名字用特定符号X表示，留下的列表是不可更改的方法签名，如下图所示：

 
     得到修剪后的方法签名后，采用MD5将其hash成128位的比特串。这个bit值代表method级别的特征。但是我们要检测的库函数是一个package级别，一个package包含多个class，一个class包含多个method。于是利用Merkle trees将多个Method Hash集合再一次进行hash操作，形成class hash值，作为class级别的特征。

       对于每一个已知的库函数名单，计算library中每个package