2022-01-18

小白学污点分析

（标题里的小白指我自己）

0x00 前言

污点分析（Taint Analysis）技术是信息流分析技术的一种实践方法，在信息泄露检测、漏洞探测、逆向工程等方面有广泛的应用并被移植到各种不同的环境和平台当中。污点分析技术将系统或应用程序中的数据标记为污点或非污点，当污点数据根据信息流传播策略可影响到非污点数据时，则将该非污点数据的标记修改为污点，当污点标签最终随数据传播到指定的存储区域或者信息泄露点时，则认定该系统违反了信息流策略。根据污点分析目标软件是否运行，通常可将其分为静态污点分析（Static Taint Analysis，STA）与动态污点分析（Dynamic Taint Analysis，DTA）。根据目标程序分析粒度不同，污点分析技术可分为粗粒度污点分析(Coarse-grained Taint Analysis)和细粒度污点分析(Fine-grained Taint Analysis)。

0x01 污点分析原理

污点分析技术模型包括污点源、污点汇聚点和无害化处理等部分。

污点源（source）：污点信息在程序中的产生点，即直接引入不受信任的数据或者机密数据到系统中。

污点汇聚点（sink）：系统将污点数据输出到敏感数据区或者外界，造成敏感数据区被非法改写或者隐私数据泄露。其中敏感操作可归纳为以下四种：(1) 内存分配函数； (2) 数组访问指令； (3) 循环控制； (4) 危险函数，如 strcpy／printf／fprintf 等。

无害化处理（sanitizer）：通过数据加密或重新赋值等操作使数据传播不再对系统的完整性和保密性产生危害。

污点分析的处理过程可以分成 3 个阶段：(1) 识别污点源和汇聚点 (2) 污点传播分析 (3) 无害处理。

污点数据主要通过数据间的依赖关系在系统或应用程序中进行传播，这种依赖关系又分为数据依赖和控制依赖。数据依赖主要包括程序中各变量间的直接赋值、数学计算等操作，控制依赖主要包括程序中各变量间的条件判断与指令跳转等情况。

5.5_overview

0x02 静态污点分析

静态污点分析是指在不运行且不修改代码的前提下离线分析变量间数据和控制依赖关系，以检测污点数据能否从污点源传播到污点汇聚点。静态污点分析的对象是程序代码或中间表示（Intermediate Representation, IR）。静态污点分析的优点是代码覆盖率高，缺点是不能获取程序真实的执行过程，分析复杂且漏报率较高。可以学习LLVM IR并完成CSCD70 。

0x03 动态污点分析

动态污点分析是在目标程序运行过程中通过实时跟踪监控并记录程序变量、寄存器和内存等的值，确定污点数据能否从污点源传播到污点汇聚点。动态污点分析的主要过程由三个阶段组成：

1）污点标记（污染源识别）：将 source 点的输入数据标记为污点源数据，包括来自网络、文件及外部设备输入的外部数据。一般采用影子内存技术对污点数据进行标记，如果某寄存器或内存中存放的是污点数据，则影子内存将会生成一个污点数据结构的指针与该污点数据一一对应，该污点数据结构保存的是与该污点相关信息，否则影子内存为空。为了跟踪污点数据的显示传播，需要在每个数据移动指令和算数指令执行前监控，当指令的结果被其中一个操作数污染后，把结果数据对应的影子内存设置为一个指针，指向源污染点操作数指向的数据结构。

2）污点传播（动态跟踪）：在程序执行过程中跟踪污点数据的传播过程，如果某个污点数据被复制到其他缓冲区，或进行了一些运算，将会导致其他内存数据变成不可信数据，则将其标记为“被污染” （tainted）数据。动态污点跟踪通常基于三种机制：动态代码插桩（e.g. DynamoRio, Pin, Valgrind）、全系统模拟、虚拟机监视器。二进制代码级的污点分析有两种粒度，一是直接分析 x86 等指令集（效率更高），二是中间语言（IR）。