مهندسي معكوس كد دودويي نرم‌افزارهاي شبكه براي شناسايي ساختار و معناي پيام‌هاي پروتكل

Reverse Engineering of Network Software Binary Codes for Identification of Syntax and Semantics of Protocol Messages

مهندسي معكوس برنامه‌هاي كاربردي شبكه، به‌خصوص از ديدگاه امنيت، بسيار مورد توجه قرار گرفته و اهميت بالايي دارد. بسياري از برنامه‌هاي كاربردي شبكه، از پروتكل‌هاي خاصي را كه ويژگي‌هاي آنها براي عموم در دسترس نيست، استفاده مي‌كنند. مهندسي معكوس اين برنامه‌هاي كاربردي، مي‌تواند اطلاعات مورد نياز براي فهم پروتكل‌هاي ناشناخته مستقر در آنها فراهم كند؛ دسترسي به اين اطلاعات مي‌تواند بسياري از وظايف، از جمله بازبيني عميق پروتكل در نسل جديد ديواره‌هاي آتش و تحليل كدهاي دودويي مشكوك را تسهيل كند. با اين وجود، اگرچه پژوهش‌هاي بسياري در اين زمينه انجام شده، اما اين پژوهش‌ها در بيش‌تر موارد فقط بر استخراج ساختار نحوي پيام‌هاي پروتكل متمركز شده‌اند. در اين مقاله، روش­هاي جديدي براي بهبود استخراج ساختار نحوي و معنايي پيام‌هاي پروتكل از طريق مهندسي معكوس كد دودويي برنامه‌هاي كاربردي شبكه ارائه شده است. براي اين كار، از تركيب تحليل پويا و ايستاي كدهاي دودويي استفاده مي‌شود. به‌منظور ارزيابي روش­هاي پيشنهادي، چهار پروتكل مختلف لايه كاربرد شامل DNS، eDonkey، Modbus و Stun تحليل شده است. نتيجه آزمايش‌ها نشان مي‌دهد كه روش‌هاي پيشنهادي، نه‌تنها مي‌توانند ساختار نحوي پيام را كامل‌تر از روش‌هاي مشابه استخراج كنند، بلكه معاني سودمندي از پيام‌هاي پروتكل نيز استخراج مي‌كنند كه در روش‌هاي قبلي قابل دست‌يابي نيست.

Reverse engineering of network applications especially from the security point of view is of high importance and interest. Many network applications use proprietary protocols which specifications are not publicly available. Reverse engineering of such applications could provide us with vital information to understand their embedded unknown protocols. This could facilitate many tasks including deep protocol inspection in next generation firewalls and analysis of suspicious binary codes. The goal of protocol reverse engineering is to extract the protocol format and the protocol state machine. The protocol format describes the structure of all messages in protocol and the protocol state machine describes the sequence of messages that the protocol accept. Recently, there has been rising interest in automatic protocol reverse engineering. These works are divided into activities that extract protocol format and activities that extract protocol state machine. They can also be divided into those uses as input network traffic and those uses as input program implements the protocol. However, although there are some researches in this field, they mostly focused on extracting syntactic structure of the protocol messages. In this paper, some new techniques are presented to improve extracting the format (both the syntax and semantics) of protocol messages via reverse engineering of binary codes of network applications. To do the research, an integration of dynamic and static binary code analysis are used. The field extraction approach first detects length fields and separators and then by applying rules based on compiler principles locates all the fields in the messages. The semantic extraction approach is based on the semantic information available in the program implements of the protocol and also information exists in the environment of the program. For evaluating the proposed approach, four different network applications including DNS, eDonkey, Modbus, and STUN were analyzed. Experimental results show that the proposed techniques not only could extract more complete syntactic structure of messages than similar works, but also it could extract a set of advantageous semantic information about the protocol messages that are not achievable in previous works.