二進(jìn)制SCA指紋提取黑科技： go語(yǔ)言逆向技術(shù)

華為云DevCloud軟件開發(fā)平臺(tái)在2022華為伙伴暨開發(fā)者大會(huì)重磅推出了4大新能力，其中的二進(jìn)制成分分析安全檢測(cè)能力，能夠?qū)崿F(xiàn)對(duì)開源軟件漏洞的全面排查、快速精準(zhǔn)定位問題、并迅速響應(yīng)修復(fù)；本文將對(duì)什么是二進(jìn)制SCA檢測(cè)服務(wù)以及該服務(wù)的優(yōu)勢(shì)進(jìn)行解讀。

什么是二進(jìn)制SCA檢測(cè)

SCA（Software Composition Analysis）軟件成分分析，指通過對(duì)軟件源碼、二進(jìn)制軟件包等的靜態(tài)分析，挖掘其所存在的開源合規(guī)、已知漏洞等安全合規(guī)風(fēng)險(xiǎn)，是一種業(yè)界常見的安全測(cè)試手段（目前華為云提供二進(jìn)制SCA檢測(cè)服務(wù)，源碼SCA檢測(cè)服務(wù)后續(xù)正式發(fā)布）。

二進(jìn)制SCA檢測(cè)服務(wù)，檢測(cè)對(duì)象為二進(jìn)制軟件包/固件，直接從二進(jìn)制文件中提取常量字符串、部分類名稱、函數(shù)名稱等特征信息，再運(yùn)用匹配算法進(jìn)行相似度計(jì)算，根據(jù)相似度門限來檢測(cè)出引用的開源軟件名稱和版本號(hào)。

二進(jìn)制SCA檢測(cè)對(duì)比源碼SCA檢測(cè)的優(yōu)勢(shì)

無需依賴源碼，操作方便

用戶只需上傳二進(jìn)制軟件包/固件，服務(wù)會(huì)采用靜態(tài)檢測(cè)技術(shù)，不用構(gòu)建運(yùn)行環(huán)境，不用運(yùn)行程序即可快速分析二進(jìn)制軟件包/固件中存在的安全風(fēng)險(xiǎn)問題，并輸出一份專業(yè)的分析報(bào)告。

圖：二進(jìn)制成分分析-檢測(cè)處理流程

二進(jìn)制SCA指紋提取黑科技：Go語(yǔ)言逆向技術(shù)之---恢復(fù)函數(shù)名稱算法

在對(duì)程序做安全審計(jì)、漏洞檢測(cè)時(shí)，通常都需要對(duì)程序做逆向分析，我們?cè)跊]有符號(hào)表的情況下，提出了一種恢復(fù)函數(shù)名稱的算法，方便對(duì)Go語(yǔ)言二進(jìn)制文件進(jìn)行逆向分析，提升分析效率。

Go語(yǔ)言是最近幾年發(fā)展非?；鸬囊环N語(yǔ)言，它具備和C/C++一樣的運(yùn)行速度快的優(yōu)點(diǎn)，同時(shí)又具備開發(fā)效率高，支持包管理機(jī)制高階語(yǔ)言特點(diǎn)。其編譯出來的二進(jìn)制文件格式和C/C++一樣運(yùn)行在Linux平臺(tái)下是elf格式，運(yùn)行在windows平臺(tái)下是pe格式，但同時(shí)在二進(jìn)制文件的內(nèi)部細(xì)節(jié)上Go語(yǔ)言有自己特有的屬性，二進(jìn)制逆向人員可以利用Go語(yǔ)言這些特有屬性來實(shí)現(xiàn)對(duì)二進(jìn)制文件進(jìn)行更精準(zhǔn)的逆向分析。

特性1：利用go語(yǔ)言中特有的節(jié)信息來判斷elf/pe文件的源代碼語(yǔ)言類型，是go語(yǔ)言還是C、c++語(yǔ)言。

通過判斷二進(jìn)制文件中是否存在“.noptrdata”、“.gopclntab”、“.data.rel.ro.gopclntab”確定源代碼，如果存在上述節(jié)名稱，則源代碼為Go語(yǔ)言。

特性2：在沒有符號(hào)表的情況下如何恢復(fù)函數(shù)名稱

我們知道在C/C++編譯出來的二進(jìn)制文件中，如果沒有符號(hào)表信息是沒法看到函數(shù)名稱的，在IDA工具中只能看到地址信息。

Go語(yǔ)言怎么來恢復(fù)函數(shù)名稱呢，可以通過從.data.rel.ro節(jié)來恢復(fù)函數(shù)名，具體查找定位算法如下：

方法1：解析頭信息可以獲取magic, quantum, ptr_size, func_tab_count數(shù)據(jù)，當(dāng)magic為’xfbxffxffxff’時(shí)，entry_size = 2 * ptr_size為entry結(jié)構(gòu)體大小，func_tab_count為entry結(jié)構(gòu)體數(shù)量；解析entry結(jié)構(gòu)獲取到名稱信息結(jié)構(gòu)數(shù)據(jù)位置偏移(需要注意64位和32位Go程序 func_info_offset位置相反)，讀取名稱信息結(jié)構(gòu)體數(shù)據(jù)，再?gòu)闹蝎@取到名稱字符串位置偏移(name_offset)，根據(jù)此偏移定位到函數(shù)名稱字符串起始位置偏移，從該位置解析得到函數(shù)名稱。

方法2：另外1.16版本Go語(yǔ)言結(jié)構(gòu)有些新變化，magic變?yōu)椤痻faxffxffxff’，解析頭信息獲取func_tab_cnt, file_cnt, func_name_off, cu_off, filetab_off, pctab_off, func_tab_off數(shù)據(jù)，其中func_tab_off為entry數(shù)據(jù)起始位置，解析entry結(jié)構(gòu)獲取code_off, func_info_offset數(shù)據(jù)，后續(xù)解析過程與magic=’xfbxffxffxff’一致。通過上述兩個(gè)方法可以恢復(fù)函數(shù)真實(shí)名稱，從而方便對(duì)Go語(yǔ)言二進(jìn)制文件的逆向分析，提升分析效率。

DevCloud軟件開發(fā)平臺(tái)基于二進(jìn)制成分分析技術(shù)，可以為開發(fā)者提供以下能力支持：

支持多種類型安裝包：支持windows、linux、IoT固件包、安卓部署包等常見軟件包的安全檢測(cè)。

檢測(cè)全面：支持針對(duì)開源軟件的許可證、漏洞、信息泄露、安全配置等3大項(xiàng)、25小類的安全問題檢測(cè)。

開源軟件覆蓋全面：覆蓋100+漏洞源、百萬級(jí)開源組件版本，開源問題全覆蓋。

保障迅速：小時(shí)級(jí)漏洞更新，提升漏洞發(fā)現(xiàn)速度，降低安全風(fēng)險(xiǎn)。

審核編輯 黃昊宇