Enhancing Control Flow Graph Based Binary Function Identification - - PowerPoint PPT Presentation

Enhancing Control Flow Graph Based Binary Function Identification Clemens Jonischkeit

Chair for IT Security

• 23. November 2017
• C. Jonischkeit

1 / 13

Motivation

Technische Universität München

”I just wasted 3 hours of my life. . . . . . because I reversed $foo once again”

• C. Jonischkeit

2 / 13

Motivation

Technische Universität München

Problem:

▸ Recover function labels

Existing Technology:

▸ Pattern Matching (F.L.I.R.T) ▸ BinDiff ▸ Diaphora

• C. Jonischkeit

3 / 13

Problems of CFGs

Technische Universität München

1 10 100 500 1,000 1,500 Basic Blocks (#) Functions (#)

• C. Jonischkeit

4 / 13

Problems of CFGs

Technische Universität München

⋮ ⋮ ⋮

1 mov rax, rdx 2 ret

⋮ ⋮ ⋮

1 mov rax, rdx 2 ret 1 mov rax, rdx 2 ret 1 mov rax, rdx 2 ret

• C. Jonischkeit

5 / 13

Problems of CFGs

Technische Universität München

Goal:

▸ Differentiate similar CFGs ▸ Resistence against changes

• C. Jonischkeit

6 / 13

Problems of CFGs

Technische Universität München

Problem:

▸ Small Functions: Many functions share the same CFG ▸ Large Functions: Many different CFGs possible per function

Idea:

▸ Checking basic block level information ▸ Normalize CFGs

• C. Jonischkeit

7 / 13

Normalization

Technische Universität München

instr: 5 instr: 3 instr: 9 Leaf Inlining:

▸ Detect Leafs ▸ Duplicate per parent

Combining Nodes:

▸ Detect Nodes with one parent ▸ Filter parents to only have one

child

▸ Combine attributes

• C. Jonischkeit

8 / 13

Normalization

Technische Universität München

instr: 5 instr: 3 instr: 9 Leaf Inlining:

▸ Detect Leafs ▸ Duplicate per parent

Combining Nodes:

▸ Detect Nodes with one parent ▸ Filter parents to only have one

child

▸ Combine attributes

• C. Jonischkeit

8 / 13

Normalization

Technische Universität München

instr: 5 instr: 3 instr: 9 Leaf Inlining:

▸ Detect Leafs ▸ Duplicate per parent

Combining Nodes:

▸ Detect Nodes with one parent ▸ Filter parents to only have one

child

▸ Combine attributes

• C. Jonischkeit

8 / 13

Normalization

Technische Universität München

instr: 5 instr: 3 instr: 9 Leaf Inlining:

▸ Detect Leafs ▸ Duplicate per parent

Combining Nodes:

▸ Detect Nodes with one parent ▸ Filter parents to only have one

child

▸ Combine attributes

• C. Jonischkeit

8 / 13

Normalization

Technische Universität München

instr: 5 instr: 3 instr: 9 Leaf Inlining:

▸ Detect Leafs ▸ Duplicate per parent

Combining Nodes:

▸ Detect Nodes with one parent ▸ Filter parents to only have one

child

▸ Combine attributes

• C. Jonischkeit

8 / 13

Normalization

Technische Universität München

instr: 5 instr: 3 instr: 9 Leaf Inlining:

▸ Detect Leafs ▸ Duplicate per parent

Combining Nodes:

▸ Detect Nodes with one parent ▸ Filter parents to only have one

child

▸ Combine attributes

• C. Jonischkeit

8 / 13

Normalization

Technische Universität München

instr: 5 instr: 3 instr: 12 Leaf Inlining:

▸ Detect Leafs ▸ Duplicate per parent

Combining Nodes:

▸ Detect Nodes with one parent ▸ Filter parents to only have one

child

▸ Combine attributes

• C. Jonischkeit

8 / 13

Graph Comparison

Technische Universität München

A B C D E

• C. Jonischkeit

9 / 13

Graph Comparison

Technische Universität München

A B C D E A

• C. Jonischkeit

9 / 13

Graph Comparison

Technische Universität München

A B C D E A B

• C. Jonischkeit

9 / 13

Graph Comparison

Technische Universität München

A B C D E A B

• C. Jonischkeit

9 / 13

Graph Comparison

Technische Universität München

A B C D E A B

• C. Jonischkeit

9 / 13

Graph Comparison

Technische Universität München

A B C D E A C B

• C. Jonischkeit

9 / 13

Graph Comparison

Technische Universität München

A B C D E A C D B

• C. Jonischkeit

9 / 13

Graph Comparison

Technische Universität München

A B C D E A C D B

• C. Jonischkeit

9 / 13

Graph Comparison

Technische Universität München

A B C D E A C D B

• C. Jonischkeit

9 / 13

Graph Comparison

Technische Universität München

A B C D E A C D E B

• C. Jonischkeit

9 / 13

Graph Comparison

Technische Universität München

A B C D E A C D E B

• C. Jonischkeit

9 / 13

Results

Technische Universität München

20 40 60 80 100 python python (n.) python (Dia.) libc libc (n.)

16.8 17.6 15.4 15.2 45.3 44.7 80.9 33 28.7 1.4 1.4 21.1 0.9 0.8

Average Matched functions (%) false positive correct (unique) correct

• C. Jonischkeit

10 / 13

Results

Technische Universität München

5 10 15 20

• O2, -O3 (n.)
• O2, -O3
• O1, -O2
• O1, -O2 (n.)

clang, gcc clang, gcc (n.) gcc7, gcc6 gcc7, gcc6 (n.) Average Matched functions (%) false positive correct (unique) correct

• C. Jonischkeit

11 / 13

Results

Technische Universität München

10 20 30 40 50 60 70 80 90

• O2, -O3 (Dia.)
• O2, -O3 (n.)
• O2, -O3
• O1, -O2
• O1, -O2 (Dia.)
• O1, -O2 (n.)

Average Matched functions (%) false positive correct (unique) correct

• C. Jonischkeit

12 / 13

Thanks

Technische Universität München

jonischk [at] sec.in.tum.de https://github.com/leetonidas/signatures

• C. Jonischkeit

13 / 13