?
Определение границ подпрограмм при статическом анализе бинарных образов
Вопросы кибербезопасности. 2016. № 1. С. 53–60.
В процессе исследования защищенности программы по требованиям информационной безопасности представляется целесообразным использование статического анализа бинарного образа программы. Важным этапом статического бинарного анализа является задача разбиения бинарного образа на подпрограммы. Распространенный алгоритм решения данной задачи опирается на определение стартовых адресов подпрограмм, начинающихся с определенной последовательности инструкций машинного кода, и последующего обхода потока управления в глубину от точки входа до инструкций возврата. В работе предлагается алгоритм нахождения границ подпрограмм, основанный на поиске стартовых адресов подпрограмм на основе набора эвристических критериев и последующем рекурсивном обходе потока управления, включающий распознавание некоторых конструкций языков высокого уровня и функций стандартных библиотек.
Александров Я. А., Сафин Л. К., Трошина К. Н. и др., В кн.: Вестник Московского университета. Серия 15: Вычислительная математика и кибернетикаТ. 3.: М.: МГУ, 2016.
В данной статье представлен подход к решению задачи автоматического анализа мобильных приложений для платформы Android на предмет соответствия требованиям информационной безопасности при отсутствии исходного кода. ...
Добавлено: 10 января 2024 г.
Сафин Л. К., Александров Я. А., Трошина К. Н. и др., Вопросы кибербезопасности 2015 № 4 С. 28–37
Необходимым этапом разработки мобильных приложений как программных компонентов информационных систем, взаимодействующих с критичными ресурсами, является исследование разработанных программных решений в контексте информационной безопасности. В статье представлен подход к исследованию информационной защищенности мобильных приложений и систематизация типовых уязвимостей приложений, выработанная в процессе анализа набора мобильных приложений, к которым предъявляются повышенные требования безопасности ...
Добавлено: 10 января 2024 г.
Александров Я. А., Марченко Е. А., Тахавиев Р. В. и др., Защита информации. Инсайд 2016 № 5 С. 20–25
Система аутентификации является важнейшим компонентом приложения с точки зрения информационной безопасности. Некоторые уязвимости в системе аутентификации можно обнаруживать в автоматическом режиме с помощью средств статического или динамического анализа. В данной статье предлагаются алгоритмы поиска важнейших из таких уязвимостей и доказывается практическая применимость алгоритмов. Рассматривается задача автоматической оценки надежности процедуры аутентификации с учетом результатов анализа кода и некоторых свойств системы, монотонной по сложности нелегитимного прохода процедуры. ...
Добавлено: 26 декабря 2023 г.
Соловьев М. А., Бакулин М. Г., Макаров С. С. и др., Труды Института системного программирования РАН 2020 Т. 32 № 6 С. 101–110
Математический аппарат абстрактной интерпретации предоставляет универсальный способ формализации и изучения алгоритмов анализа программ для самого широкого спектра прикладных задач. Однако его применение для практически значимых задач анализа бинарного кода связано с большим числом вызовов, как научных, так и инженерных. В настоящей работе предложены подходы к преодолению части этих трудностей. Описано промежуточное представление, учитывающее особенности бинарного ...
Добавлено: 31 октября 2022 г.
Афанасьев В. О., Поляков С. А., Бородин А. Е. и др., Труды Института системного программирования РАН 2021 Т. 33 № 6 С. 67–82
В статье описывается статический анализатор для поиска ошибок и анализа метрик и отношений в программах на языке Kotlin. Анализатор был реализован с помощью расширения инструмента Svace, разрабатываемого в ИСП РАН. В статье описываются проблемы, с которыми мы столкнулись в ходе выполнения работы, и предложенные методы их решения, а также экспериментальные результаты полученного анализатора. Инструмент умеет ...
Добавлено: 7 сентября 2022 г.
Дудина И. А., Труды Института системного программирования РАН 2018 Т. 33 № 4 С. 21–30
В последние десятилетия переполнение буфера остаётся одним из главных источников программных ошибок и эксплуатируемых уязвимостей. Среди прочих подходов к устранению подобных дефектов активное развитие получили различные методы статического анализа. В работе рассматриваются основные подходы и инструменты, используемые для решения этой задачи, с целью выявить наиболее популярные методы и типы обнаруживаемых ошибок. Также исследованы наборы синтетических ...
Добавлено: 30 ноября 2021 г.
Бородин А. Е., Дудина И. А., Труды Института системного программирования РАН 2020 Т. 32 № 6 С. 87–100
В работе описывается внутрипроцедурный анализ отдельных функций, использующийся в инструменте статического поиска ошибок Svace. Отличительные особенности анализа: анализ по графу потока управления, символьное выполнение с объединением состояний анализа в точках слияния путей, анализ только части путей в функциях с циклами, одновременный запуск всех анализаторов, моделирование достижимых ячеек памяти, нумерация значений переменных. ...
Добавлено: 30 ноября 2021 г.
Бородин А. Е., Горемыкин А. В., Вартанов С. П. и др., Труды Института системного программирования РАН. 2021 Т. 33 № 1 С. 7–32
В статье рассматривается поиск ошибок помеченных данных в исходном коде программ, т.е. ошибок, вызванных небезопасным использованием данных, полученных из внешних источников, которые потенциально могут быть изменены злоумышленником. В качестве основы использовался межпроцедурный статический анализатор Svace. Анализатор осуществляет как поиск дефектов в программе, так и поиск подозрительных мест, в которых логика программы может быть нарушена. Целью ...
Добавлено: 29 ноября 2021 г.
Васильев В. С., Легалов А. И., Научный вестник Новосибирского государственного технического университета 2020 № 4 С. 37–46
Функционально-потоковые языки программирования предназначены для разработки архитектурно-независимых параллельных программ и поддерживают управление вычислениями
по готовности данных. В связи с тем, что в настоящее время преобладают параллельные вычислительные системы, а их программирование на императивных языках сопряжено с проблемами переносимости, разработка инструментальных средств архитектурно-независимого параллельного программирования является актуальной задачей. Формируемая на функционально-потоковых языках программа задает граф потока данных. ...
Добавлено: 26 августа 2021 г.
Кулямин В. В., Петренко А. К., Хорошилов А. В., Труды Института системного программирования РАН 2018 Т. 30 № 6 С. 367–382
В работе рассматриваются полученные недавно результаты на пути к полномасштабной верификации промышленно используемых операционных систем (ОС). Таковыми считаются не системы, разработанные в целях демонстрации определенной исследовательской идеи, а ОС, активно используемые в каких-то областях экономики и управленческой деятельности и развиваемые на протяжении значительного времени. Предлагается декомпозиция заявленной цели верификации промышленной ОС в целом на задачи ...
Добавлено: 14 февраля 2019 г.
Анализ мобильных приложений с использованием моделей привилегий и API-вызовов вредоносных приложений
Гамаюнов Д. Ю., Сковорода А. А., Прикладная дискретная математика 2017 № 36 С. 84–105
Предложен метод автоматической классификации мобильных приложений на основе статического анализа и сопоставления моделей, полученных по его результатам, с моделями ранее известных вредоносных приложений. Модели основаны на привилегиях и API-вызовах, используемых в приложении. Все шаги анализа, а также построение моделей полностью автоматизированы. Таким образом, метод адаптирован для автоматизированного использования магазинами мобильных приложений или другими заинтересованными организациями. ...
Добавлено: 13 сентября 2018 г.
Кулямин В. В., Лаврищева Е. М., Мутилин В. С. и др., Труды Института системного программирования РАН 2016 Т. 28 № 3 С. 189–208
В данной работе рассматриваются проблемы верификации и анализа сложных операционных систем с учетом их вариабельности, или наличия большого количества разнообразных конфигураций. Исследуются методы, позволяющие преодолеть эти проблемы, проводится их обзор и классификация. Выделены классы методов, использующих для анализа инструменты, не учитывающие вариабельность, и выборки вариантов системы и методов, использующих специализированные инструменты, учитывающие вариабельность. Как наиболее ...
Добавлено: 28 августа 2017 г.
Иванников В. П., Белеванцев А. А., Бородин А. Е. и др., Труды Института системного программирования РАН 2014 Т. 26 № 1 С. 231–250
В работе описывается разрабатываемый в ИСП РАН инструмент автоматического статического анализа Svace. Инструмент позволяет находить ошибки и потенциальные уязвимости в исходном коде программ на языках Си/Си++. Особенностью инструмента являются простота использования, широкий набор поддерживаемых типов предупреждений, масштабируемость до программ в миллионы строк кода и приемлемое качество анализа (30-80% истинных предупреждений). ...
Добавлено: 22 марта 2017 г.
Силаков Д. В., Novikov E., , in: Proceedings of the Third Spring Young Researchers’ Colloquium on Software Engineering (SYRCoSE 2009).: M.: -, 2009. P. 27–34.
Добавлено: 30 сентября 2015 г.
Глушко Е. К., Lex Russica (Русский закон) 2014 Т. XCIV № 9 С. 1023–1031
Статья посвящена программным документам в сфере управления государственными финансами. Анализируются проблемы, связанные с их разработкой, утверждением и реализацией. Обращено внимание на излишнюю концентрацию и наслоение концепций, стратегий, планов в финансовой сфере, перетекание недостигнутых целей и невыполненных задач из одних программ в другие, неоднозначные особенности юридической техники, используемой при составлении и оформлении программных документов. ...
Добавлено: 23 ноября 2014 г.
Мамонов М. Е., Прикладная эконометрика 2010 № 4(20) С. 3–27
В данной работе исследуется влияние процессов концентрации и экспансии иностранных банков на уровень конкуренции в российском банковском секторе, оцененный в рамках широко распространенного подхода H-stat Панзара – Росса. На основе анализа панельных данных по выборке банков (покрывающей 85 % совокупных активов), с одной стороны, делается вывод о том, что банковский сектор устойчиво находится в состоянии ...
Добавлено: 28 декабря 2012 г.