參加國際學(xué)術(shù)會議總結(jié)
20103rdInternationalConferenceonAdvancedComputerTheoryandEngineering(ICACTE2010)于2010年8月20日至2010年8月22日在四川成都的四川大學(xué)召開,本次會議由四川省計算機學(xué)會和IACSIT(InternationalAssociationofComputerScienceandInformationTechnology)聯(lián)合發(fā)起,由IEEE、四川大學(xué),電子科技大學(xué),西南交通大學(xué),西南民族大學(xué)提供技術(shù)協(xié)助。會議旨在為科研工作者和工程技術(shù)人員提供一個報道先進研究成果、交流學(xué)科前沿動態(tài)的平臺。
會議吸引了來自亞洲、非洲、北美、歐洲等20余個國家和地區(qū)的百余位專家、學(xué)者的參加,會議內(nèi)容涉及本領(lǐng)域國際最新研究動態(tài)及前沿工作,反映了未來發(fā)展方向。會上與國際知名學(xué)者交流,感受了國內(nèi)、國際權(quán)威學(xué)者的敏銳思維、學(xué)習(xí)專家解決難題的靈活方式、感覺受益匪淺。
大會共有600余篇poster展出,本人的第一作者論文“ApplicationofStructuredExceptionHandlinginSoftwareAnti-debugging”被本次大會安排為會議首日第一個分會場的第一個口頭宣讀,充分體現(xiàn)了大會對本論文的重視,作為本次大會第一個宣讀的論文,本論文也得到了分會場主席和與會專家和學(xué)者的普遍好評并得到很多有益的建議,可謂收獲頗豐。具體內(nèi)容是:
隨著軟件產(chǎn)業(yè)的快速發(fā)展,以反跟蹤技術(shù)為核心的軟件安全已經(jīng)成為一個重要的課題。在與軟件解密做著不懈斗爭的同時,軟件從業(yè)人員不斷發(fā)現(xiàn)新的軟件反跟蹤策略,提出新的軟件保護方案,增強了軟件的安全性。
結(jié)構(gòu)化異常處理,是操作系統(tǒng)提供的用于解決系統(tǒng)軟硬件異常的一種機制,在程序設(shè)計中的合理使用可以提高軟件的穩(wěn)定性、容錯性。本文著重探討了其在軟件反跟蹤中的應(yīng)用。
應(yīng)用程序正常執(zhí)行中出現(xiàn)異常時,操作系統(tǒng)將收集異常發(fā)生的原因、類型、位置等信息,填寫相關(guān)的數(shù)據(jù)結(jié)構(gòu),并從用戶程序轉(zhuǎn)到系統(tǒng)級執(zhí)行,將控制權(quán)交給系統(tǒng)的異常調(diào)度函數(shù)。該函數(shù)將根據(jù)系統(tǒng)收集的異常信息選擇一個異常處理例程處理異常。用戶可定義的異常處理例程分為兩種;一種是線程相關(guān)的,一種是進程相關(guān)的:線程相關(guān)的異常處理例程,監(jiān)視某線程中某段代碼是否發(fā)生異常,由于線程是程序執(zhí)行的最小單位,所以把異常解決于線程的內(nèi)部,可以避免該異常對其它線程的干擾,保證程序的`穩(wěn)定運行。進程相關(guān)的異常處理例程:也稱為篩選器,監(jiān)視進程中所有線程發(fā)生的異常,做進程退出前的清理工作。
異常處理流程是指運行在win32系統(tǒng)中的程序通常包含多個線程,而每個線程都會安裝各自的異常處理例程;除此之外,程序中可能存在一個全局性的異常處理例程;再者,如果進程被調(diào)試的話,調(diào)試進程也相當(dāng)于一個異常處理例程。當(dāng)異常發(fā)生時,系統(tǒng)將根據(jù)異常類型選擇一個異常處理例程來處理異常,正常情況下,系統(tǒng)進行異常處理的流程為:
系統(tǒng)首先判斷異常是否應(yīng)發(fā)送給目標(biāo)程序的異常處理例程。如果應(yīng)該發(fā)送,并且目標(biāo)程序正在被調(diào)試.則系統(tǒng)掛起程序;如果程序沒有被調(diào)試或者調(diào)試器未能處理異常,系統(tǒng)繼續(xù)查找是否安裝了線程相關(guān)的異常處理例程。如果已經(jīng)安裝,系統(tǒng)就把異常發(fā)送給SEH處理例程。每個線程相關(guān)的異常處理例程可以處理或者不處理這個異常,如果它不處理并且安裝了多個線程相關(guān)的異常處理例程可交由鏈起來的其他例程處理;如果這些SEH處理例程均不處理異常,且程序處于被調(diào)試狀態(tài),操作系統(tǒng)會再次通知調(diào)試器;如果程序未處于被調(diào)試狀態(tài)或者調(diào)試器沒有能夠處理,并且程序調(diào)用SetUnhandledExceptionFilter函數(shù)安裝了進程相關(guān)的異常處理例程的話,系統(tǒng)轉(zhuǎn)向?qū)λ恼{(diào)用;如果沒有安裝進程相關(guān)的異常處理例程或者它沒有處理這個異常,系統(tǒng)會調(diào)用默認(rèn)的異常處理例程,通常顯示一個對話框,用戶可以選擇“關(guān)閉”或者可以將程序附加到調(diào)試器的“調(diào)試”按鈕。如果沒有可以附加的調(diào)試器或調(diào)試器也不處理,系統(tǒng)就對線程異常處理句柄進行展開做最后的清理工作,最終調(diào)用ExitProcess終結(jié)程序。通過對系統(tǒng)異常處理流程分析可知,當(dāng)應(yīng)用程序執(zhí)行過程中發(fā)生異常時,系統(tǒng)可在三個層次上完成異常處理:調(diào)試器、進程、線程。線程層次的異常處理即SEH,能夠準(zhǔn)確定位異常的信息,更加靈活、隱蔽的實現(xiàn)反跟蹤的功能,是本文研究的主要方面。下面深入分析SEH的工作原理。
系統(tǒng)級處理機制,SEH作為系統(tǒng)內(nèi)部處理異常的一種機制,其工作主要在系統(tǒng)級完成,因此掌握系統(tǒng)內(nèi)部異常處理的工作原理是研究基于SEH的軟件反跟蹤的關(guān)鍵。下面圍繞異常處理例程深入分析系統(tǒng)級異常處理機制。異常發(fā)生時,系統(tǒng)執(zhí)行KiUserExceptionDispatcher函數(shù)并調(diào)用RtlDispatchException啟動對注冊的異常處理例程的查找。如果找到的處理例程處理了異常并繼續(xù)執(zhí)行,則對RtlDispatchException的調(diào)用不再返回。否則,有兩種可能:調(diào)用NtContinue使程序繼續(xù)或產(chǎn)生另一個異常。若是后者,異常不再繼續(xù),進程必須終止。
RtlDispatchException函數(shù)遍歷異常幀,利用獲得的指向EXCEPTION_REGISTRATIONS鏈表的指針遍歷每一個節(jié)點查找異常處理例程,并通過RtlpExecuteHandlerForException完成異常處理例程的調(diào)用,根據(jù)RtlpExecuteHandlerForException的反饋信息,RtlDispatchException或者繼續(xù)遍歷異常幀,或者產(chǎn)生另一個異常,最終將控制送至ExecuteHandler函數(shù),由該函數(shù)通過EXCEPTION_REGISTRATION的handler域調(diào)用異常處理例程,對程序執(zhí)行中產(chǎn)生的異常進行處理。
SEH在軟件反跟蹤中的主要應(yīng)用方式是調(diào)試工具的檢測、硬件斷點的去除、改變程序執(zhí)行順序等,但這些反跟蹤技術(shù)相對比較成熟,很容易被破解者發(fā)現(xiàn)并成功破解。本文所介紹的是一種更加隱蔽,效果更好的反跟蹤方式:單步異常-抽取代碼法。
在程序的正常執(zhí)行序列中設(shè)置功能請求標(biāo)志位,之后觸發(fā)單步異常,進入異常處理例程后根據(jù)標(biāo)志位完成所抽取的相應(yīng)的功能,繼續(xù)程序的運行。這樣,如果破解者不能發(fā)現(xiàn)異常處理例程的存在,將無法實現(xiàn)該功能。這是因為異常發(fā)生后,調(diào)試器接管了異常,而不會去調(diào)用作者安裝的實現(xiàn)具體功能的異常處理例程,從而達到反跟蹤的目的。
利用單步異常實現(xiàn)反跟蹤的具體過程是安裝異常處理例程,在程序開始處將異常處理函數(shù)地址放入EXCEPTION_REGISTRATION結(jié)構(gòu)的handler域中,一旦執(zhí)行過程中有異常發(fā)生系統(tǒng)就通過handler域的地址調(diào)用異常處理函數(shù),完成相關(guān)的異常處理,正常執(zhí)行代碼,安裝完異常處理例程,其后是程序功能代碼,在這里設(shè)置標(biāo)志以便異常函數(shù)作不同的處理。插入單步異常指令,此處是關(guān)鍵的地方,因為程序的反調(diào)試功能通過它來實現(xiàn)。當(dāng)程序執(zhí)行到這里時,根據(jù)是否處于調(diào)試狀態(tài)有兩條執(zhí)行路徑,一條是處于調(diào)試狀態(tài),這時調(diào)試器接收異常信息,并進行相關(guān)的處理,這樣將有部分程序代碼得不到執(zhí)行而使程序出現(xiàn)錯誤;另一條執(zhí)行路徑是不處于調(diào)試狀態(tài)下,程序本身將通過異常處理函數(shù)來處理異常,這樣程序中部分被抽取的代碼將得到執(zhí)行,程序不出現(xiàn)錯誤,且功能可以實現(xiàn)。清除異常處理例程,程序執(zhí)行完功能代碼后,要把開始時安裝的異常處理例程去除,否則容易引起系統(tǒng)錯誤。清除的方法是:用出棧指令將EXCEPTION_REGISTRATION結(jié)構(gòu)的prev與和handler域彈出即可。
這次參加ICACTE國際會議,通過和與會學(xué)者的交流、探討,我覺得自己的收獲主要在以下方面:
(1)對自己專業(yè)的新動態(tài)有了一定的把握,對本行業(yè)內(nèi)的其他專業(yè)方向有了一定的了解;
(2)發(fā)現(xiàn)了自己在學(xué)術(shù)上存在的問題,這有助于以后的改進和提高;
(3)結(jié)識了一些日本、韓國、臺灣等地高校和公司的教授、研發(fā)人員和學(xué)生,為以后更廣泛的交流打下了基礎(chǔ);
(4)發(fā)現(xiàn)了自己英語水平的不足,這將促使我更加努力地掌握英語,尤其是提高口語水平。
總體上,這次國際會議讓我學(xué)到了很多東西,雖然只有短短三天,但我感覺收獲頗多,聽到了許多新思想,結(jié)識了許多新朋友,拓寬了視野,增長了知識,結(jié)識了軟件安全研究領(lǐng)域的多名學(xué)者,更加明確了今后的研究方向,相信對個人今后的學(xué)術(shù)研究有很大的促進。非常感謝我校研究生院給予的此項支持,鼓勵研究生參加國際會議是符合建設(shè)國際型大學(xué)的潮流之舉。作為研究生,我們應(yīng)該認(rèn)識并珍惜學(xué)校提供的學(xué)術(shù)科研和培養(yǎng)的機會和條件,積極思考,廣泛交流,用優(yōu)秀的科研成績回報學(xué)校。
【參加國際學(xué)術(shù)會議總結(jié)】相關(guān)文章:
外出參加學(xué)術(shù)會議總結(jié)報告11-16
學(xué)術(shù)會議策劃方案11-12
學(xué)術(shù)會議賀信模板11-15
學(xué)術(shù)會議賀信范文11-15
國際檔案日宣傳總結(jié)06-21
國際禁毒日宣傳總結(jié)06-07
國際助殘日活動總結(jié)05-19