二进制补丁比对中的指令归一化算法
二进制文件比对中的指令归并优化算法
统优化算法 和源代码 编译 平台对二进制文件生成 的内容有很 大 影响 , 反 汇编过程受系统环境影 响较大 , 也会造成 比对结果 的不
准确 。
的可执行 版本和最终表现形 式就是 二进制代 码 , 其发 布必定 会 附带有二 进制代码 程序 , 即便在 只获得其 源代码的情况下 也 可
王建新 杨 凡 韩 锋
( 北京林业大学信 息学院 北京 1 0 0 0 8 3 )
摘
要
针对二进制 文件在不 同硬件 系统和 编译 环境 中会发生指令重排 , 在 比对 时可 能会 造成误 判 问题 , 结合 当前技术 发展 , 研
究提 出一种指令 归并优化算 法, 显著降低算法复杂度 , 提 高 了运算效率。
以通 过现有机器和环境进行 编译得 到二进 制文件 , 因此二进 制
为 了解决这个 问题 , Ha l v e r F l a k e于 2 0 0 4年 提 出 了结 构 化 比对方法 , 即将 二进 制文 件反 汇 编后 , 按 调用 指令 划分 为 不 同的子 函数 , 并将其 作 为二进 制文 件 的一个 “ 子 图” , 那 么整个 二进制文件就转化 为一个结构 图 , 两个二进 制文 件 的比对也 就
文本 比较方法适用 范围有限 , 由于缺乏语 义分 析 , 无法理解程 序
特别 是在软件技术高速发展 和互联 网深入 普及 的今天 , 软件 抄 袭现象愈发严重 , 软件 的同源性 检测技 术对 于版权保 护就显 得 尤为重要 。目前 , 检测 软件 同源性 的技 术手段 可分 为软件源 代
第3 O卷 第 1 2期
2 0 1 3年 1 2月
计 算机 应 用与软 件
C o mp u t e r A p p l i c a t i o n s a n d S o f t wa r e
二进制补丁比对中的指令归一化算法
I t uc i n N o m a i a i nA l o ihm n Bi a y Pa c o pa io nsr to r l to g rt z i n r th C m rs n
S EN H Ya- an ’ n ,ZH AO o R ng— a c i,W AN G i — n ,REN ua ,LI Zhe hua , X ao qi H U n- ZH A NG i yu LIPe 。e X n. z ng fi
= —_ 二 = _ i
———i 孬■
二进 制 补 丁 比对 中的指 令 归一化 算 法
沈亚椅 ,赵荣 彩 ,王小芹 ,任 华 ,刘振华 ,张新宇 ,李鹏飞
(. 1 解放军信息工程大 学信息工程学院 ,郑州 4 00 ; . 5 0 1 2 北京 北方计算 中心 ,北京 10 9 ;3 中国科学 院软件所 ,北京 1 00 001 . 0 9) 0
第 3 卷 第 1 6 5期
I 36 , o r
・
计
算
机
工
程
21 0 0年 8月
Aug t 01 us 2 0
No 1 .5
C o put rEng ne r n m e i e ig
软件技术与数据库 ・
文 编 :0 - 4 (1 章 号 1 0 3 80 ) 0 22 0
摘
要: 针对软件二进制补丁分析过程 ,提 出一种指令归一化 算法 ,用于判别补丁前 后的相应基本块内指令是否 发生重排序 。与常 用的小
素数法相比,该算法不受基本块内指令条 数的限制 ,不会导致差 异信息漏报 ,且效率 较高 、效果 良好。初步 实验证 明,该算法减 少了人工
二进制diff算法
二进制diff算法
首先,二进制diff算法的核心思想是通过比较两个二进制文件
的内容来找出它们之间的差异。
这种算法通常会将文件分割成固定
大小的块,然后逐个比较这些块,以确定它们之间的差异。
这种比
较通常使用一些快速的算法,比如哈希算法,来加速比较过程。
其次,二进制diff算法还会考虑到文件的结构和格式。
它会尝
试识别文件中的特定结构,比如头部信息、元数据等,以便更准确
地比较文件的内容。
这种算法通常会针对不同类型的文件采用不同
的比较策略,以确保比较的准确性和高效性。
此外,二进制diff算法还会考虑到文件的大小和性能。
由于二
进制文件通常比文本文件大得多,因此在进行比较时需要考虑到性
能和内存的限制。
因此,二进制diff算法通常会采用一些优化策略,比如增量比较、局部比较等,以确保比较过程的效率和可行性。
最后,二进制diff算法还会生成补丁文件,以便将两个文件之
间的差异应用到目标文件上。
这种算法通常会生成一个描述文件之
间差异的补丁文件,然后通过一些特定的工具将这个补丁文件应用
到目标文件上,以实现文件之间的同步和更新。
总的来说,二进制diff算法是一种用于比较和找出两个二进制
文件之间差异的技术,它通过比较文件内容、考虑文件结构和格式、考虑文件大小和性能等方面的因素,来实现高效准确地比较和同步
文件的目的。
这种算法在软件开发和版本控制等领域有着广泛的应用,对于文件比较和同步起着重要的作用。
linux 二进制比较命令
linux 二进制比较命令Linux二进制比较命令是一种用于比较两个二进制文件之间差异的工具。
在Linux系统中,二进制比较命令可以帮助我们了解文件内容的变化,检测文件的完整性,并进行版本控制和安全验证。
本文将介绍常用的Linux二进制比较命令,并说明它们的用途和使用方法。
1. cmp命令:cmp命令用于比较两个文件的内容,并输出第一个不同的字节的位置。
它逐字节地比较两个文件,并在遇到不同字节时停止。
如果两个文件完全相同,则不会输出任何内容。
cmp命令的基本用法如下:```cmp file1 file2```其中,file1和file2是要比较的两个文件的名称。
如果文件内容相同,则不会输出任何内容;如果不同,则会输出第一个不同字节的位置。
2. diff命令:diff命令用于比较两个文件的内容,并输出两个文件之间的差异。
它逐行比较两个文件,并标记出不同的行。
diff命令的基本用法如下:```diff file1 file2```其中,file1和file2是要比较的两个文件的名称。
diff命令会逐行比较两个文件,并输出不同的行。
输出中以"<"表示file1中的行,以">"表示file2中的行。
3. colordiff命令:colordiff命令是diff命令的一个扩展工具,它可以将diff命令输出的结果以彩色显示。
相比于diff命令,colordiff命令在阅读差异内容时更加直观。
colordiff命令的基本用法如下:```colordiff file1 file2```其中,file1和file2是要比较的两个文件的名称。
colordiff命令会将diff命令输出的结果以彩色显示,使差异更加明显。
4. bsdiff和bspatch命令:bsdiff和bspatch是一对用于生成和应用二进制补丁的命令。
bsdiff命令用于比较两个文件的差异,并生成一个二进制补丁文件;bspatch命令用于根据二进制补丁文件和原始文件,生成一个新的文件。
软考 归一化法计算公式
软考归一化法计算公式软考归一化法计算公式1. 归一化定义归一化是指将具有不同量纲的变量转化为无量纲的统一尺度的过程,常用于将不同变量进行比较和分析。
在软考中,归一化常用于对某些统计指标或得分进行标准化处理,以便进行比较和评估。
2. 计算公式在软考中,常用的归一化方法有以下几种:最小-最大归一化(Min-Max normalization)最小-最大归一化通过对原始数据进行线性变换,将数据映射到指定的范围(通常是[0,1]),公式如下:X_new = (X - X_min) / (X_max - X_min)其中,X是原始数据,X_new是归一化后的数据,X_min和X_max 分别是原始数据的最小值和最大值。
举例说明:假设某科目的成绩范围是0到100分,学生A得到的成绩是80分,那么他的归一化分数可以通过最小-最大归一化计算公式计算如下:X_new = (80 - 0) / (100 - 0) =因此,学生A的归一化分数为。
Z-Score归一化Z-Score归一化是通过对数据进行线性变换,将数据转化为均值为0,标准差为1的分布,公式如下:X_new = (X - X_mean) / X_std其中,X是原始数据,X_new是归一化后的数据,X_mean是原始数据的均值,X_std是原始数据的标准差。
举例说明:假设一批样本的身高数据,计算Z-Score值可以如下计算:身高数据: 170、180、165、175、160均值: (170 + 180 + 165 + 175 + 160) / 5 = 170标准差: sqrt^2 + ^2 + ^2 + ^2 + ^2) / 5) ≈样本i的Z-Score值 = (身高数据i - 均值) / 标准差样本1的Z-Score值 = (170 - 170) / = 0样本2的Z-Score值 = (180 - 170) / ≈样本3的Z-Score值 = (165 - 170) / ≈ -...通过Z-Score归一化,我们可以将不同样本间的身高数据进行标准化处理,方便进行比较和分析。
bindiff原理 -回复
bindiff原理-回复Bindiff是一种二进制代码比较工具,用于比较两个不同版本的二进制文件之间的差异。
它可以帮助安全研究人员、软件开发者和逆向工程师分析恶意软件、补丁和编译后的代码。
本文将详细介绍Bindiff的原理,并一步一步回答有关Bindiff的相关问题。
首先,我们来了解Bindiff的基本原理。
Bindiff通过比较两个二进制文件的差异来分析它们的结构和功能。
它能够检测出二进制文件中的新增、删除和修改的代码,以及控制流的变化。
Bindiff还能够生成描述这些差异的报告,以帮助用户更好地理解代码的变化。
接下来,我们将详细介绍Bindiff的工作流程。
首先,用户需要提供两个需要比较的二进制文件。
这两个文件可以是同一个软件的不同版本,也可以是来自不同软件的二进制文件。
然后,Bindiff通过读取这两个文件的内容,并将它们转换成可比较的形式,如机器码或指令序列。
一旦转换完成,Bindiff会对这两个文件进行结构分析。
它会识别出二进制文件中的函数、基本块和指令,并为每个基本块计算哈希值。
这些哈希值可以用作基本块的指纹,用于后续的比较和匹配。
接着,Bindiff将使用一种叫做“最长公共子序列(Longest Common Subsequence,简称LCS)”的算法来比较这两个二进制文件的指令序列。
LCS算法可以找到两个序列中的最长相同子序列,并将其作为代码的核心部分。
通过比较这些核心部分,Bindiff可以确定二进制文件之间的差异。
除了通过LCS算法进行比较之外,Bindiff还使用了基于块的分析方法来检测新增和删除的代码。
它将基于哈希值的指纹,与另一个文件中的基本块进行匹配,从而找到新增和删除的代码。
通过分析新增和删除的代码,用户可以了解软件的功能变化和安全问题。
最后,Bindiff会生成详细的分析报告,用于展示二进制文件之间的差异。
这份报告通常包含了结构分析、LCS比较结果和代码变化信息。
二进制比较与反二进制比较——对抗1day 和0day
什么是指纹? 我们采用指纹哈希的方法作为 DarunGrim2 的主要算法. 这种方法非常简单,不需要对二进制 文件非常精确地分析就可以实现。指纹哈希采用指令序列作为特征值。 一般说来,指纹可能存在多重含义。这里指纹是用于表示一个基本块的数据。对于每一个基本 块,DarunGrim2 都从中读取所有的字节并作为 key 存储在哈希表中。我们可以称之为块的指 纹。指纹的大小随着字节的不同而不同。有很多其他方法也可以生成指纹。 指纹匹配可以非常有效地匹配基本块。基本块是二进制比较的最基本的分析元素,一个基本块 可能含有多个引用。DarunGrim2 为比较的两个二进制文件分别建立指纹哈希表,然后将每一项 都进行匹配。不像 flirt 那种传统的函数指纹,DarunGrim2 用得是抽象的字节作为基本块的指 纹。所以即使函数中有些基本块被修改了,根据其它匹配的块依然可以正确地将函数匹配。为 了快速地匹配海量的指纹哈希,我们把生成的指纹串存在哈希表中然后进行匹配。有很多方式 可以生成基本块的指纹,你也可以尝试其他的指纹生成方式,匹配的时候略有不同。
我们在 2006 年的时候开发了一套叫做"eEye Binary Diffing Suites"的工具包,世界上有很 多安全研究人员都使用过这个工具。它是免费而且开源的,很容易被用于“1day”挖掘。实际 上,攻击者有这些工具并在补丁公布和用户打补丁这个时间差上进行攻击。这个过程有可能持 续几分钟,也可能持续几天。
的同构算法不同。这种方法和 BMAT 的方法比较类似。从已经匹配的节点,去匹配他们的子节 点。
流程追踪
接下来我们必须要考虑流程追踪,Todd 已经在他的文章中阐述过这个问题,DarunGrim2 只是 在他的方法上进行了改进。
linux 二进制比较命令
linux 二进制比较命令Linux二进制比较命令在Linux系统中,二进制比较命令是一种用于对比两个二进制文件的工具。
它可以帮助我们快速准确地判断两个文件是否相同,以及找出差异之处。
本文将介绍常用的二进制比较命令,并详细说明其使用方法和注意事项。
1. cmp命令cmp命令是Linux系统中最基本的二进制比较命令之一。
它可以逐字节地比较两个文件,并在找到不同字节时输出其位置和差异值。
使用cmp命令的基本语法如下:cmp [选项] 文件1 文件2其中,选项可以是以下之一:- b:以字节为单位进行比较(默认为块)。
- l:以长整型为单位进行比较。
- s:不输出任何错误信息。
例如,要比较文件file1和file2:cmp file1 file2cmp命令将输出不同字节的位置和差异值,如果两个文件完全相同,则不会输出任何信息。
2. diff命令diff命令是另一个常用的二进制比较命令,它可以逐行比较两个文件的内容,并输出不同之处。
使用diff命令的基本语法如下:diff [选项] 文件1 文件2其中,选项可以是以下之一:- b:忽略空白字符的差异。
- c:输出上下文格式的差异结果。
- q:仅显示有无差异,不显示具体内容。
例如,要比较文件file1和file2:diff file1 file2diff命令将输出不同行的具体内容,以及差异所在的行号。
3. od命令od命令是Linux系统中用于显示文件内容的命令,它可以将文件内容以不同的进制形式显示出来。
在二进制比较中,od命令可以将文件内容转换为十六进制形式,以便于观察和比较。
使用od命令的基本语法如下:od [选项] 文件其中,选项可以是以下之一:- x:以十六进制形式显示文件内容。
- c:以字符形式显示文件内容。
例如,要将文件file以十六进制形式显示出来:od -x fileod命令将输出文件内容的十六进制表示,并且每个字节都有对应的位置信息。
4. md5sum命令md5sum命令是Linux系统中用于计算文件MD5值的命令,它可以将文件内容转换为一个唯一的128位哈希值。
补丁二进制比较技术
补丁二进制比较技术Hume补丁二进制比较技术Ø补丁比较-揭示差异信息的常用方法è补丁比较的需求è开源软件Vs. 闭源软件è二进制补丁比较的难点Ø二进制文件比较的常用方法及缺陷è二进制字节对应比较è反汇编->文本比较è其他方法第2页Ø最新方法è基于指令相似性的图形化比较(razor)è结构化比较(halvar flake)è这些方法的一些问题Ø理解程序本质以及补丁比较的特殊性è函数->指令è补丁比较的特殊性Ø进行补丁比较è结构化比较、语意敏感分析第3页è设计签名è筛选(WI)è图的生成及查看Ø补丁分析实例èMicrosoft Windows schannel.dll PCT1 协议实现远程缓冲区溢出漏洞第4页补丁比较-揭示差异信息的常用方法v补丁比较的需求x安全防护:漏洞分析、病毒变种分析x利用其他产品未公开特性的产品x别有用心的黑客v开源软件Vs. 闭源软件x开源软件补丁><源代码对比比较简单第5页x闭源软件补丁><二进制比较v二进制补丁比较的难点x一个补丁补多个问题,代码变化较多x与补丁无关的其他变化x编译器优化è源码修改编译<->逆向工程,信息不对称è传统比较方法已经不能适应补丁比较的最新需要第6页二进制比较的常用方法及缺陷v二进制字节对应比较。
FC,只适用于极少量的变化(若干字节)的补丁比较v反汇编->文本比较。
Beyondcompare,vi,emacs…缺乏对程序逻辑的理解,只适用于小文件和少量变化v其他方法。
正则表达式结合文本比较?第7页v基于指令相似性的图形化比较。
Todd Sabin:《Comparing binaries with graph isomorphisms》Þ函数对比-每条指令作为流程图的一个节点-流程图化简-流程图合成-人工分捡对比第8页v结构化比较Halvar Flake:《Structural Comparison of Executable Objects》Þ结构化函数签名(逻辑块数,子调用数目,链接数)配比-签名相同不能匹配函数通过函数调用树进行结构化分析对比-得到结果第9页v两种方法各自的优点Þ结构化签名与具体平台无关,便于移植Þ结构化签名不会受到部分编译器优化的影响Þ指令相似性的图形化比较不会漏掉非结构化变动(尽管这种情况不多)Þ图形化比较相当直观第10页最新方法v两种方法各自的问题à结构化签名对比不能找出非结构化变动à结构化签名相同的函数较多,完全用结构化签名+结构化配比后仍可能导致部分函数无法匹配à上层函数结构化配比错误后的瀑布效应à指令相似性对比受编译器优化困扰à相似图形的化简存在不完全的问题第11页程序v有序指令序列指令:操作码[动作] 操作数[动作对象]v函数作为基本逻辑单元v软件工程:接口(其实现)作为基本的功能单元v增量链接第12页补丁比较的特殊性及目的v两个二进制文件非常相似,差异函数一般低于全部的20%v经常由同一编译器或同系列编译器编译v大部分二进制代码不变v部分被修改模块的编译器优化è目的:找出被修改函数的语意变化第13页理想中的比较技术v屏蔽底层差异->反汇编为统一的高级语言或中间语言à编译器千差万别,尚无成熟技术v有向图对比à图形相似对比-NP问题Ú现实:速度及计算能力-理想情况的近似解决,可产生可用的结果第14页ü结构化比较è整个文件视为“图”è函数作为基本逻辑单位-“子图”è找到比较起始点è开始比较è不同函数的结构化配比,标识不同函数之间的对应关系第15页ü设计函数签名è平台无关签名†逻辑块数-子调用数-逻辑链接数†逻辑块数-子调用数-逻辑链接数-指令数†逻辑块数-子调用数-逻辑链接数-其他平台无关特征È设计你自己的签名Þ平台无关签名便于移植,简单规则可对付分支优化à部分结签名是不精确的,要结合结构化分析来确定精确匹配点第16页ü设计函数签名(续)è平台相关签名†IDA Flirt签名†指令顺序相关(不敏感)的签名†指令顺序无关签名†(指令-操作数)类型签名È消除重定位的影响,设计你自己的签名第17页ü设计函数签名(续)Þ可进行精确匹配,适当设计的签名可对付寄存器置换等变动Þ增加匹配函数数目,减少平台无关签名错误带来的后续瀑布效应à不便于移植,较难对付分支优化第18页ü结果筛选(WI-weak inteligence)à每种签名都有其弱点和不足à各种签名结果之间的差异可揭示某些问题的所在è综合各种签名,不应漏掉差异è最终结果的分析判定只能靠人工进行è通常在人工干预下进行结果筛选(取各种签名对比结果的交集或差异集或并集,消除库函数以及其他已知无效函数的影响)可减轻比较分析的难度以及劳动量第19页ü图形化比较-图的生成及查看Þ函数流程图的生成是比较简单的(vcg)Þ图形显示比较困难,但存在现成工具和库Win32graphAiSeeÞ人对图形差异优于对文本差异的直观感知è流程图的生成及差异染色第20页实例分析v Microsoft Windows schannel.dll PCT1 协议实现远程缓冲区溢出漏洞è程序对比补丁前后schannel.DLL后大约产生20个左右的差异函数,进一步人工分析注意到_Pct1SrvHandleUniHello补丁前后发生了变化:.text:766AE2BD mov[ebp+8], eax.text:766AE2C0 mov eax, [edx+0Ch].text:766AE2C3 lea ebx, [eax+eax].text:766AE2C6 cmp ebx, 20h.text:766AE2C9 jbe short loc_766AE2D2è进一步分析可知该漏洞为栈溢出第21页第22页实例分析v MS04-11 LSASRV.DLL补丁前后对比Ú对比后差异函数不到20个,部分输出如下:?NegpCrackRequest-sub_742DBEB0?NegpDetermineTokenPackage-sub_742FB2E0?SetFlags-sub_74319CF0_LsapDbOpenTrustedDomainByName-sub_74321A80_DsRolepDebugDumpRoutine-sub_74346CC0Ú经过分析其中两个函数分别修补了两个漏洞:其中一个就是后来被振荡波等病毒利用的DsRolepDebugDumpRoutine远程栈溢出漏洞第23页第24页_DsRolepDebugDumpRoutine -sub_74346CC0_DsRolepDebugDumpRoutine-sub_74346CC0第25页_DsRolepDebugDumpRoutine-sub_74346CC0第26页谢谢!Thanks !第27页Any Questions?。
归一化的计算公式
归一化的计算公式归一化是一种在数学和各种科学领域中常用的方法,它能让不同范围和量级的数据变得具有可比性。
归一化的计算公式虽然看起来可能有点复杂,但其实理解起来也并不难。
先来说说归一化到底是啥。
比如说,我们要比较两个班级学生的考试成绩。
一个班级的成绩普遍在 80 到 90 分之间,另一个班级的成绩则在60 到70 分之间。
单纯看分数,好像第一个班级的学生成绩更好,但如果考虑到两个班级的试卷难度不同呢?这时候,归一化就派上用场了,它能消除这种由于测量尺度不同带来的差异。
归一化的计算公式有很多种,常见的有线性归一化和非线性归一化。
线性归一化的公式一般是:\[X_{norm} = \frac{X - X_{min}}{X_{max} - X_{min}}\]这里的 \(X\) 是原始数据,\(X_{min}\) 是数据中的最小值,\(X_{max}\) 是数据中的最大值。
举个例子,一个班级学生的数学成绩分别是 60 分、70 分、80 分、90 分和 100 分。
那么 \(X_{min} = 60\),\(X_{max} = 100\) 。
假如我们要对 80 分进行归一化,那就是 \(\frac{80 - 60}{100 - 60} = 0.5\) 。
非线性归一化就更复杂一些啦,比如对数归一化、反正切归一化等等。
但别担心,咱们先把线性的搞清楚,其他的也能慢慢理解。
我之前在给学生讲这个知识点的时候,就发生了一件有趣的事儿。
有个学生特别较真儿,他就觉得归一化没啥用,说:“老师,这多麻烦呀,直接看分数不就行了?”我就笑着跟他说:“那好呀,咱们来做个实验。
”我拿出了两份数据,一份是不同班级学生的身高数据,另一份是不同班级学生的体重数据。
然后让他直接比较哪个班级的同学“更厉害”。
这孩子一下子就懵了,这身高和体重咋比呀?然后我就趁机给他讲,这就像不同班级的考试成绩,如果没有归一化,就很难公平地比较。
经过这一番折腾,这孩子终于明白了归一化的重要性。
二进制文本 还原
二进制文本还原
二进制文本是指以二进制格式存储的文本数据,常见于计算机系统和软件中。
将二进制文本还原成原始文本,需要使用相应的工具或编程语言。
下面是一些常见的方法:- 使用vi编辑器打开二进制日志,并写入配置文件中,然后重启mysql服务,使用mysqldump工具将数据库备份,并在数据库表中添加数据。
- 使用strace命令的-xx参数,将得到类似输出内容,然后在终端中使用printf命令将二进制数据还原。
- 使用Python中的二进制文件读取和写入操作,将二进制文件读取并写入到一个新的文件中。
请注意,具体的还原方法可能因二进制文本的格式和内容而异,建议在还原之前仔细了解其格式和结构,并选择适当的工具或方法。
如果你对二进制文本还原还有疑问,请提供更多的背景信息,以便我能更好地回答你的问题。
归一化(bn、ln、in、gn)的计算流程
归一化(bn、ln、in、gn)的计算流程
归一化是一种常用于深度学习的技术,它可以帮助提升模型训练的稳定性和收敛速度。
常见的归一化方法有 BN、LN、IN 和 GN。
它们的计算流程如下:
1. BN(Batch Normalization):对于每个 mini-batch 中的数据,计算出其中所有样本在当前特征维度上的均值和方差,然后将数据缩放到均值为0,方差为1的标准正态分布上。
2. LN(Layer Normalization):对于每个样本,计算出它在所有特征维度上的均值和方差,并将数据缩放到均值为0,方差为1的标准正态分布上。
3. IN(Instance Normalization):对于每个样本,在同一个特征维度上计算出它所有实例的均值和方差,并将数据缩放到均值为0,方差为1的标准正态分布上。
4. GN(Group Normalization):将样本分成若干个组,并在同一个组内计算出所有样本在同一特征维度上的均值和方差,然后将数据缩放到均值为0,方差为1的标准正态分布上。
以上是归一化的计算流程,它们的目的都是将数据进行标准化处理,以消除不同特征维度上的数据分布差异,提升模型的训练效果。
gray 2 bin转换逻辑梳理
gray 2 bin转换逻辑梳理灰度二进制转换逻辑梳理是指将灰度级的图像转换成二进制图像的过程。
灰度级图像通常包含256个不同的灰度值,每个灰度值表示像素的亮度或灰度水平。
而二进制图像只包含两个值,0和1,分别代表黑色和白色。
灰度二进制转换在计算机视觉和图像处理中得到广泛应用,可以用于边缘检测、目标识别、图像压缩等领域。
灰度二进制转换的逻辑梳理如下:1.输入:灰度级图像首先,将灰度级图像作为输入。
灰度级图像是一个二维矩阵,每个元素(像素)包含一个灰度值。
常见的灰度级图像格式有JPEG和PNG等。
2.灰度值归一化为了方便处理,对灰度级图像的灰度值进行归一化处理。
常见的方法是将灰度值除以255,使其范围在0到1之间。
这样可以将灰度值归一化到一个固定的范围内,方便后续的二值化处理。
3.阈值选择在进行二值化之前,需要选择一个合适的阈值。
阈值可以是固定的,也可以根据图像的特性和需求进行动态选择。
常见的阈值选择方法有全局阈值和局部阈值等。
4.二值化将灰度级图像中的每个像素的灰度值与阈值进行比较,如果大于阈值,则将像素值设置为1,表示白色;如果小于阈值,则将像素值设置为0,表示黑色。
这样就将灰度级图像转换成了二值图像。
5.输出:二值图像将经过二值化处理的图像作为输出。
二值图像是一个二维矩阵,每个元素(像素)只包含0或1的值。
6.应用二值图像可以用于各种图像处理和计算机视觉的应用。
例如,可以用二值图像进行边缘检测,通过检测像素从黑色到白色或从白色到黑色的变化来找出图像中的边缘。
二值图像还可以用于目标识别和图像压缩等领域。
总结:灰度二进制转换是将灰度级图像转换为二值图像的过程。
具体的逻辑包括输入灰度级图像,灰度值归一化,阈值选择,二值化,输出二值图像和应用。
灰度二进制转换在图像处理和计算机视觉中有广泛的应用,对于边缘检测、目标识别和图像压缩等领域都有重要意义。
bindiff 用法 -回复
bindiff 用法-回复Bindiff是一种用于比较和分析二进制文件差异的工具。
它可帮助安全专业人员、逆向工程师和开发人员检测潜在的漏洞或恶意软件。
在本文中,我们将详细介绍Bindiff的用法,并逐步解释如何使用它。
第一步:了解Bindiff的基本概念和原理。
(100字)在开始介绍Bindiff的用法之前,让我们先了解一下这个工具的基本概念和原理。
Bindiff使用一种称为“指令图”的技术来比较二进制文件之间的差异。
指令图是一种以图形形式显示的程序代码执行信息的表示方法。
Bindiff可以分析两个二进制文件之间的指令图,并标记出它们之间的差异,从而帮助用户识别不同版本的软件中的修改、漏洞或恶意代码。
第二步:安装和配置Bindiff。
(200字)在使用Bindiff之前,我们需要将它安装到我们的计算机上,并对其进行必要的配置。
Bindiff是一个商业软件,我们可以从官方网站或授权经销商那里获得它的许可证。
安装过程与常规软件相似,只需按照指示进行即可。
配置Bindiff可能涉及设置一些参数,如指定二进制文件的格式(例如ELF、PE、Mach-O等)和选择适当的插件。
第三步:加载和比较两个二进制文件。
(300字)一旦Bindiff安装并配置完成,我们可以开始加载并比较两个二进制文件。
在Bindiff界面中,我们可以通过选择“文件”菜单中的“加载文件”选项,选择我们要比较的两个二进制文件。
一旦加载完成,我们将在工作区中看到两个二进制文件的指令图。
第四步:分析差异和标记变化。
(400字)一旦两个二进制文件加载到Bindiff中,我们可以进行一些分析工作来比较它们之间的差异。
首先,我们可以使用导航、缩放和搜索功能浏览指令图,并找到感兴趣的部分。
Bindiff可以将两个二进制文件的指令图进行对齐,以便为我们显示其在代码级别上的差异。
在视图中,我们可以看到两个二进制文件之间的差异,并且可以通过颜色编码和其他标记来识别添加、删除和修改的指令。
使用二进制搜索算法解决数据去重问题的技巧与方法
使用二进制搜索算法解决数据去重问题的技巧与方法在现代社会中,数据的重复是一个常见的问题。
当我们处理大规模数据时,经常会遇到数据重复的情况,这不仅浪费存储空间,还会增加数据处理的复杂度。
为了解决这个问题,我们可以使用二进制搜索算法来进行数据去重,从而提高数据处理的效率和准确性。
二进制搜索算法是一种高效的搜索算法,它通过将数据按照一定的规则进行排序,然后利用二分法进行查找,从而快速找到目标数据。
在解决数据去重问题时,我们可以借鉴二进制搜索算法的思想,将数据进行排序,并利用二分法进行查找和去重。
首先,我们需要将待去重的数据进行排序。
排序的方式可以根据实际情况选择,常用的排序算法有冒泡排序、快速排序等。
排序的目的是为了将相同的数据放在一起,方便后续的去重操作。
一旦数据排序完成,我们可以使用二分法进行查找和去重。
二分法的基本思想是将待查找的数据与排序后的数据的中间值进行比较,如果相等,则表示该数据已存在,可以将其删除;如果小于中间值,则在左半部分进行查找;如果大于中间值,则在右半部分进行查找。
重复这个过程,直到找到目标数据或者确定目标数据不存在为止。
通过二分法进行查找和去重的好处是时间复杂度较低,可以快速找到目标数据。
然而,在实际应用中,我们还需要考虑一些特殊情况,以提高算法的效率和准确性。
首先,我们可以利用二进制搜索算法的特点,将数据分成多个块进行处理。
这样一来,每个块的数据量就会减少,从而减少了每次查找的时间。
同时,我们还可以使用多线程或并行计算的方式,将不同的块分配给不同的线程或计算单元进行处理,从而进一步提高算法的效率。
其次,我们可以利用二进制搜索算法的特点,将数据进行分层处理。
即先对数据进行粗略的去重,然后再对每个分组进行细致的去重。
这样一来,可以大大减少每次查找的数据量,提高算法的效率。
同时,我们还可以根据数据的特点,选择合适的分组方式,以提高算法的准确性。
最后,我们还可以结合其他的数据结构和算法进行优化。
python实现归一化相互系数ncc
python实现归一化相互系数ncc归一化相互系数(Normalized Cross-Correlation,NCC)是一种常见的图像处理技术,用于衡量两个图像之间的相似度。
Python的OpenCV库提供了NCC 的实现方法,可以使用cv2.matchTemplate()函数来计算归一化的相互系数。
下面是一个简单的Python示例代码,演示如何使用cv2.matchTemplate()函数来计算NCC。
假设我们要比较两个图像img1和img2,以确定它们之间的相似程度。
```pythonimport cv2import numpy as np# 读取图像img1 = cv2.imread('img1.png', cv2.IMREAD_GRAYSCALE)img2 = cv2.imread('img2.png', cv2.IMREAD_GRAYSCALE)# 计算NCCmatch = cv2.matchTemplate(img1, img2, cv2.TM_CCORR_NORMED) similarity = round(np.max(match), 2)# 输出相似度print("相似度: ", similarity)```在上面的示例代码中,我们使用cv2.matchTemplate()函数来计算img1和img2之间的归一化相互系数。
该函数需要三个参数:- img1:第一幅图像- img2:第二幅图像- cv2.TM_CCORR_NORMED:匹配方法,这里选择了NCC。
计算完成后,我们使用np.max()函数查找匹配矩阵中的最大值,并将其作为相似度的指标进行输出。
请注意,NCC的计算结果是在-1到1之间的值,其中1表示完美匹配,0表示没有任何匹配,-1表示完美的反向匹配。
因此,我们可以使用np.max()函数来查找匹配矩阵中的最大值,然后将其舍入为两个小数位,以便更好地表达相似度。
二进制补丁比对中的指令归一化算法
二进制补丁比对中的指令归一化算法
沈亚楠;赵荣彩;王小芹;任华;刘振华;张新宇;李鹏飞
【期刊名称】《计算机工程》
【年(卷),期】2010(036)015
【摘要】针对软件二进制补丁分析过程,提出一种指令归一化算法,用于判别补丁前后的相应基本块内指令是否发生重排序.与常用的小素数法相比,该算法不受基本块内指令条数的限制,不会导致差异信息漏报,且效率较高、效果良好.初步实验证明,该算法减少了人工分析差异信息的工作量,可以帮助逆向分析人员快速定位软件差异.【总页数】3页(P46-48)
【作者】沈亚楠;赵荣彩;王小芹;任华;刘振华;张新宇;李鹏飞
【作者单位】解放军信息工程大学信息工程学院,郑州,450001;北京北方计算中心,北京,100091;解放军信息工程大学信息工程学院,郑州,450001;北京北方计算中心,北京,100091;北京北方计算中心,北京,100091;北京北方计算中心,北京,100091;北京北方计算中心,北京,100091;中国科学院软件所,北京,100090
【正文语种】中文
【中图分类】TP393.08
【相关文献】
1.挖掘图像补丁特征信息增强二进制描述子独特性 [J], 惠国保;李东波;童一飞
2.基于结构化函数签名的二进制补丁分析 [J], 曾鸣;赵荣彩;王小芹;姚京松
3.基于二进制补丁比对的软件输入数据自动构造 [J], 沈亚楠;赵荣彩;任华;王小芹;
刘振华;张新宇;李鹏飞
4.二进制翻译中冗余指令优化算法 [J], 谭捷;庞建民;单征;岳峰;卢帅兵;戴涛
5.二进制文件比对中的指令归并优化算法 [J], 王建新;杨凡;韩锋
因版权原因,仅展示原文概要,查看原文内容请购买。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
作者简介:沈亚楠(1980-),男,硕士,主研方向:软件安全;赵荣 彩,教授、博士生导师;王小芹,高级工程师、硕士;任 华、 刘振华,工程师、硕士;张新宇,高级工程师、博士;李鹏飞,博士 收稿日期:2010-02-18 E-mail:sssyyynnn@
沈亚楠 1,2,赵荣彩 1,王小芹 2,任 华 2,刘振华 2,张新宇 2,李鹏飞 3
(1. 解放军信息工程大学信息工程学院,郑州 450001;2. 北京北方计算中心,北京 100091;3. 中国科学院软件所,北京 100090)
摘 要:针对软件二进制补丁分析过程,提出一种指令归一化算法,用于判别补丁前后的相应基本块内指令是否发生重排序。与常用的小 素数法相比,该算法不受基本块内指令条数的限制,不会导致差异信息漏报,且效率较高、效果良好。初步实验证明,该算法减少了人工 分析差异信息的工作量,可以帮助逆向分析人员快速定位软件差异。 关键词:软件补丁比对;指令重排列;小素数法;指令归一化
(1. Information Engineering College, PLA Information Engineering University, Zhengzhou 450001; 2. Beijing North Computer Center, Beijing 100091;
3. Institute of Software, Chinese Academy of Sciences, Beijing 100090)
如 果 存 在 一 种 排 序 δ = { p1, p2,L, pm} ∈ S n , 使 得 ∀i (1 ≤ i ≤ m), α pi = βi ,则称基本块 A、B 进行了指令重排。
2.1 小素数法及其局限性
文献[3]提出的小素数法是一种判断补丁前后 2 个基本块
内指令是否重排的算法。其判断前提是基本块内指令内容一
在进行二进制补丁比对、寻找函数差异的过程中,经常 遇到一种代码形式上的差别,即指令重排。原因是软件版本 A 和版本 B 在编译过程中,编译器优化造成的“噪音”使得 相同的源代码在编译成二进制代码后指令顺序不一致。目前 很多厂商通过引用指令混淆技术来干扰二进制补丁比对的分 析,其中一个重要方法是进行指令重排。一些二进制比较工 具,如 BMAT 使用基本块的校验值进行匹配,而校验值对指 令顺序的依赖程度很高,一旦引入指令重排混淆技术,这些 二进制补丁比较工作将不能正常工作。如果二进制补丁比较 工具能有效识别“义同形不同”的代码差别,就能极大减少
n
∏τ1
(αi
)
=
n
∏τ 2
( βi
)
,则说明基本块
A、B
进行了指令重排。
i=1
i=1
小素数法中条件
n
∏τ1
(αi
)
=
n
∏τ
2
(
βi
)
等价于存在一种排序
i=1
i=1
δ 使得 δ (α ) = β ,原因是素数乘法的唯一性。由于实际中素
数乘法是高开销的,乘积增长很快,因此在计算机中难以表
示。为了算法的实际应用,可以将乘积与 264 取模,从而利用
通过微软 ms09039 补丁比对和 GNU gzip 1.2.4 长文件名 溢出漏洞补丁比对来验证指令归一化算法的效果。
2009 年 8 月 11 日微软发布严重级 ms09039 安全公告: 用户如果在运行 Windows Internet 名称服务(wins)时收到特制 的 WINS 复 制 数 据 包 , 就 可 能 远 程 执 行 代 码。该 漏 洞 是 WINS(win.exe)服务在计算缓冲区长度和解析收到的数据包 时产生的错误。通过对其进行二进制补丁比对,发现 17 对差 异函数。在这 17 对差异函数中,指令归一化算法识别出由于 指令重排引起的“义同形不同”基本块 4 对,本文以 NmsMsgfFrmNamRelReq 函数为例进行说明。由于该函数内 配对基本块中指令条数达 71 条,因此仅以发生指令重排的相 关指令为例进行说明。
且
αil
<
α
l j
。
在有序化基本块内的指令后,顺序比较补丁前后基本块 内指令是否一致,若所有指令均一致,则说明编译器进行了 指令重排优化,补丁前后的基本块可以认定为“义同形不同”。
基于定义 3 给出指令归一化算法,描述如下:
输入 补丁前基本块 A 内指令序列 A = {α1,α2,L,αm} ,补
丁后基本块 B 内指令序列 B = {β1, β2,L, βm} 输出 补丁前后基本块 A 、 B 是否进行了指令重排的判
通用的 X86 CPU 寄存器进行计算[4]。简化计算的风险是漏报:
对于
n
条汇编语句组成的基本块 α
和
β
,可能在
n
∏τ1
(α
i
)
≠
i=1
n
∏τ
2
(
β
i
)
的情况下,
n
∏τ
(αi )
=
k 264
+c
和
n
∏τ
(
β
i
)
=
j 264
+c
成
i=1
i=1
i=1
立,即实际有差异的基本块 α 和 β 被认为相同。对于有
从归一化算法可以看出,对于 m 条指令、每个指令 n 个 关键字,链式基数排序算法中每次分配的时间复杂度为
O (m) ,每次收集的时间复杂度为 O (36) ,整个排序需要进
行 n 次分配与收集,因此,整个时间复杂度为 O (n(m + 36)) ,
所需空间为 36×2+m 个队列指针。
3 实验结果
m = 100 [4]规模的汇编指令种类,基本块内语句在 14 条以内
的情况下,上述特征定义是安全的。但当规模大于上述条件
时,将造成信息漏报。
2.2 指令归一化算法
指令归一化本质上是将基本块内每条指令视为一个字符
串,字符串中每个字符看作是该字符串的关键字,然后对这
些字符串进行排序并比较。假设基本块内含有 m 条指令,指
指令重排是编译器对代码优化的一种常用方法,目的是 充分利用计算机硬件,提高软件执行的并行性。本文给出基 本块内指令重排的形式化描述,见定义 1,简单阐述文献[3] 小素数法及其不足,并介绍指令归一化算法。
定义 1 假设基本块 A、B 均含有 m 条指令,A = {α1,α2,L, αm} , B = {β1, β2,L, βm} 。 S m 是 m 条指令的所有排序集合。
(3)逐次比较基本块 A` 、 B` 内每条指令是否相同,如果 均相同,则说明基本块 A 、 B 进行了指令重排,不需对其进 行补丁分析。
在步骤(2)中,以链表形式存储指令序列中的 m 条指令。 指令每一位关键字的取值范围为 0~9 或 a~z,设置 36 个队列, 每次排列时按关键字分配到相应队列中,设置头、尾指针指 向每个队列的头和尾,并收集各条指令,改变所有非空队列 队尾的指针,令其指向下一个非空队列的队头记录,重新将 36 个队列中的指令连成一个链表。
1 概述
漏洞研究者可以根据软件在完善过程中发布的安全补丁 及其相关信息进行数据流分析,从而定位软件漏洞。因此, 软件厂商逐步向公众封闭与补丁相关的漏洞技术细节,漏洞 研究者只能得到软件系统打补丁前后的可执行代码,极大增 加了其漏洞定位难度,引发了可执行代码比较技术的研究 需求[1]。
目前有很多补丁比对技术,其主要思想是通过配对补丁 比对前后功能相应的函数,寻找函数之间的差异,特别是语 义上的差别。BindView 公司 Razor 研究小组利用图的同构进 行可执行代码不同版本之间的比较[2]。文献[3]提出基于结构 化技术比较可执行文件的方法,文献[4]在此基础上增加了 划分的属性。文献[5]提出结构化函数签名的二进制比较技 术。基于结构化的二进制比较方法在一定程度上消除了编译 器优化对分析二进制文件带来的影响,但不能发现非结构的 变化。
致,仅排序不同。小素数法的形式化描述见定义 2。
定义 2[3] 假设 Pm = {3,5,L, ρm} 是前 m 个素数,按顺序对
基本块 A、B 内每条指令建立与 Pm 中每个素数的映射关系:
τ1,τ 2 。 τ1 : A → Pm ,τ1 (αi ) = ρi , τ 2 : B → Pm ,τ 2 ( βi ) = ρi 。 如 果
【Abstract】Aiming at the analyzing process of software binary patch, this paper proposes an instruction normalization algorithm to distinguish whether the corresponding basic blocks are reordered. Compared with the normally small prime algorithm, this algorithm is not limited to instruction numbers and does not fail to report the difference information. It has high efficiency and good effect. Initial experiments show that this algorithm can reduce the manual work to analyze difference information and help reverse engineering person quickly locate software difference. 【Key words】software patch comparison; instruction reordering; small prime algorithm; instruction normalization