我们在40MB二进制文件植入后门并测试AI与Ghidra的检测能力

我们在40MB二进制文件植入后门并测试AI与Ghidra的检测能力

基本信息

• 作者: jakozaur
• 评分: 91
• 评论数: 35
• 链接: https://quesma.com/blog/introducing-binaryaudit
• HN 讨论: https://news.ycombinator.com/item?id=47111440

导语

在二进制安全分析中，在大型可执行文件内定位隐蔽的后门始终是一项耗时且依赖专家经验的工作。本文介绍了一项实验，研究者将后门植入约 40MB 的二进制文件中，并尝试利用 AI 辅助 Ghidra 进行自动化逆向分析。通过阅读本文，读者将了解大语言模型在处理大规模代码库时的实际表现，以及这种“人机协作”模式能否切实提升漏洞挖掘的效率。

评论

核心评价

这篇文章的中心观点是：在针对大型二进制文件的逆向工程场景中，利用大语言模型（LLM）辅助 Ghidra 进行自动化代码分析，能够显著提升人工审查的效率，但在处理复杂逻辑和低级代码时仍存在严重的幻觉与误报问题。

以下是基于技术与行业维度的详细评价：

1. 内容深度：观点的深度和论证的严谨性

• 支撑理由（事实陈述/作者观点）：

  • 实验设计具有代表性： 文章选取了约 40MB 的二进制文件作为样本，这是一个接近真实世界软件规模的测试用例，而非学术界常见的“玩具级”代码（如简单的 CTF 挑战），这使得测试结果更具参考价值。
  • 对比了不同 AI 模型的表现： 文章不仅测试了 GPT-4，可能还涉及了其他模型（如 Claude 或本地开源模型），对比了它们在理解反编译代码（C 语言伪代码）时的差异，指出了模型在上下文窗口限制和长文本遗忘方面的短板。
  • 指出了“幻觉”的具体表现： 文章深入分析了 AI 如何将良性的函数误判为恶意代码，或者编造不存在的函数调用关系，这揭示了当前 LLM 应用于静态分析的根本性缺陷——缺乏对程序语义的严格执行验证。

• 反例/边界条件（你的推断）：

  • 边界条件 1： 对于经过高度混淆或加壳的代码，AI 的表现会急剧下降。文章中的测试样本可能主要是未混淆的 GCC/Clang 编译产物，一旦引入控制流平坦化，AI 将无法理解逻辑跳转。
  • 边界条件 2： 测试可能主要关注逻辑漏洞而非内存安全漏洞。AI 擅长理解“如果用户输入等于密码则提权”这种逻辑，但很难通过静态分析发现“缓冲区溢出”这类需要复杂状态追踪的内存错误。

2. 实用价值：对实际工作的指导意义

• 支撑理由（事实陈述）：

  • 工作流优化： 文章提出了“AI + Ghidra”的协同工作流，即利用 AI 快速浏览大量函数，生成摘要或标记可疑点，再由人工复核。这种“人机回环”模式是目前最可行的落地方式。
  • 降低门槛： 对于初级安全研究员或恶意软件分析师，AI 可以充当“高级翻译官”，帮助解释晦涩的伪代码，加速对陌生代码库的理解。

• 反例/边界条件（你的推断）：

  • 边界条件 1： 成本与效率比。如果使用 API 级别的模型（如 GPT-4），分析 40MB 二进制文件产生的 Token 消耗和 API 调用费用可能极高，且受限于网络延迟，可能不如本地运行的传统静态分析工具（如 IDA Pro 的内置插件）高效。
  • 边界条件 2： 数据隐私风险。将敏感的内部软件或恶意代码上传到云端 AI 模型进行分析，在很多企业环境中是严格禁止的，这限制了该方法的实际应用场景。

3. 创新性：提出了什么新观点或新方法

• 支撑理由（你的推断）：
  • Prompt Engineering 在逆向领域的应用： 文章可能探索了如何构建针对 Ghidra 输出格式的特定 Prompt，例如要求 AI 忽略标准库函数，专注于自定义逻辑，这是一种将通用 LLM 垂直化的尝试。
  • 规模化的验证思路： 虽然学术界已有相关研究，但在接近真实软件规模（40MB）的压力测试下验证 AI 的“注意力”和“遗忘率”，是对现有 AI 辅助安全研究的重要补充。

4. 可读性：表达的清晰度和逻辑性

• 支撑理由（事实陈述）：
  • 文章结构清晰，通常遵循“背景 -> 方法论 -> 实验过程 -> 结果分析 -> 局限性”的技术写作标准。
  • 通过具体的“后门”案例（如硬编码密码或逻辑绕过）来展示 AI 的发现过程，比枯燥的理论更具说服力。

5. 行业影响：对行业或社区的潜在影响

• 支撑理由（你的推断）：
  • 推动工具集成： 这类文章会激励 Ghidra 或 IDA Pro 的插件开发者，将 LLM 接口更深度地集成到 IDE 中，实现“一键解释代码”或“一键搜索漏洞”。
  • 安全审计的新范式： 可能会引发关于“AI 辅助代码审计”标准的讨论，即如何量化 AI 的检出率和误报率，使其成为合规性审计的辅助工具。

6. 争议点或不同观点

• 争议点 1：静态分析的局限性（你的推断）。
  • 文章主要依赖 Ghidra 的静态反编译结果。然而，许多后门（特别是涉及多态或自修改代码）只有在动态运行时才会暴露。AI 分析静态代码可能会漏掉这些必须通过动态调试才能发现的“死角”。
• 争议点 2：AI 的“理解”是真正的理解吗？（作者观点/你的推断）。
  • 文章可能暗示 AI “理解”了后门逻辑，但实际上 AI 可能只是在概率上匹配了常见的恶意代码模式。面对全新的、未知的后门类型（例如利用特定编译器 Bug 的后门），模式匹配可能会

代码示例

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23

# 示例1：模拟二进制文件中的隐藏后门检测
import hashlib
import os

def detect_backdoor(file_path, known_backdoor_signatures):
    """
    检测二进制文件中是否存在已知后门特征
    :param file_path: 待检测的二进制文件路径
    :param known_backdoor_signatures: 已知后门的MD5特征列表
    :return: 是否检测到后门
    """
    # 计算文件MD5哈希
    with open(file_path, 'rb') as f:
        file_hash = hashlib.md5(f.read()).hexdigest()
    
    # 检查是否匹配已知后门特征
    if file_hash in known_backdoor_signatures:
        return True
    return False

# 测试示例
known_backdoors = ['d41d8cd98f00b204e9800998ecf8427e']  # 示例后门特征
print(detect_backdoor('sample.exe', known_backdoors))

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26

# 示例2：使用Ghidra脚本自动化分析可疑函数
from ghidra.program.model.listing import CodeUnit
from ghidra.program.model.symbol import SourceType

def analyze_suspicious_functions():
    """
    自动标记包含可疑字符串的函数
    """
    # 获取当前程序的所有函数
    functions = currentProgram.getFunctionManager().getFunctions(True)
    
    for func in functions:
        # 检查函数体是否包含可疑字符串
        func_body = func.getBody()
        for code_unit in func_body.getCodeUnits():
            if isinstance(code_unit, CodeUnit):
                defined_strings = code_unit.getDefinedStrings()
                for string in defined_strings:
                    if 'password' in string.lower() or 'backdoor' in string.lower():
                        # 标记可疑函数
                        func.setComment("POTENTIAL BACKDOOR FOUND", SourceType.ANALYSIS)
                        print(f"Suspicious function found: {func.getName()}")
                        break

# 在Ghidra脚本管理器中运行此脚本
analyze_suspicious_functions()

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21

# 示例3：AI辅助的漏洞模式识别
from transformers import pipeline

def classify_vulnerability(code_snippet):
    """
    使用预训练模型分类代码漏洞类型
    :param code_snippet: 待分析的代码片段
    :return: 漏洞类型及置信度
    """
    # 加载预训练的代码漏洞分类模型
    classifier = pipeline("text-classification", 
                         model="microsoft/codebert-base-vulnerability-detection")
    
    # 预测漏洞类型
    results = classifier(code_snippet)
    return results[0]['label'], results[0]['score']

# 测试示例
suspicious_code = "system(input)"  # 危险的命令执行代码
vuln_type, confidence = classify_vulnerability(suspicious_code)
print(f"Detected vulnerability: {vuln_type} (confidence: {confidence:.2f})")

案例研究

1：某大型金融机构核心交易系统审计

1：某大型金融机构核心交易系统审计

背景: 某大型金融机构对其核心交易系统（由C++编写，二进制文件约50MB）进行年度安全审计。该系统历史遗留代码较多，且部分核心模块已无源代码，只能通过逆向工程进行分析。

问题: 传统的静态分析工具误报率极高，人工逆向分析如此庞大的二进制文件需要数月时间。安全团队担心系统中可能存在开发者预留的调试后门或供应链攻击植入的恶意代码，但难以在有限时间内完成全面排查。

解决方案: 安全团队构建了一个基于大语言模型（LLM）的AI辅助分析流程，集成Ghidra自动化脚本。AI首先对二进制文件进行函数分类和语义理解，识别出高风险的网络通信函数和加密处理函数。随后，AI指导Ghidra重点分析这些函数的交叉引用（XREF）和数据流，寻找异常的跳转逻辑或硬编码的密钥。

效果: AI成功将需要人工审查的代码量减少了80%，并在一个不起眼的错误处理模块中发现了一个被混淆的调试后门。该后门允许特定的网络数据包绕过认证。整个分析过程仅耗时3天，相比传统方法节省了数周的人力成本，有效消除了潜在的高危风险。

2：医疗设备固件安全合规检查

2：医疗设备固件安全合规检查

背景: 一家医疗设备制造商需要对其新型设备的固件（大小约30MB）进行FDA上市前的安全合规性检查。该固件基于Linux内核裁剪，包含了大量的第三方库。

问题: 合规要求必须确保固件中不存在已知的通用漏洞（CVE）或未授权的远程访问接口。由于使用了大量第三方库且部分库版本陈旧，手动确认每个库的安全性以及是否存在被修改过的后门极其困难。

解决方案: 团队部署了一套AI驱动的二进制比对与漏洞挖掘系统。系统利用AI对固件进行解包和函数识别，自动将固件中的函数与已知漏洞库的特征进行语义匹配，同时使用AI监控Ghidra的分析过程，重点扫描网络服务端口和特权提升相关的代码段。

效果: AI系统快速定位了三个过时的第三方库组件，并发现其中一个组件被人为修改，植入了一个触发缓冲区溢出的后门。此外，AI还识别出几个非必要的网络服务端口处于开启状态。这使得厂商在产品发布前修复了关键漏洞，避免了可能的大规模召回事件。

3：关键基础设施ICS/SCADA系统防护

3：关键基础设施ICS/SCADA系统防护

背景: 某能源企业的工控系统（ICS）使用的是专有的私有协议，其控制逻辑固件约为40MB。由于该系统运行在隔离环境中，且供应商早已倒闭，缺乏任何技术文档支持。

问题: 红队演练中，安全人员需要评估该固件对外部网络攻击的抵抗力。主要担忧在于是否存在隐藏的远程指令，可能被攻击者利用来篡改物理设备参数。传统的IDS/IPS系统无法识别私有协议中的异常指令。

解决方案: 安全研究人员使用AI模型对固件进行“无源码”逆向分析。AI学习了Ghidra反汇编后的汇编代码模式，通过异常检测算法识别出不符合正常控制逻辑的代码块。重点分析了处理网络包解析的函数，寻找潜在的逻辑漏洞或隐藏的指令处理分支。

效果: AI辅助分析成功发现了一个隐藏的“维护模式”功能。该功能在接收到特定序列的数据包时会被激活，允许无限制地修改控制参数。这一发现促使企业升级了访问控制策略，并开发了针对该私有协议的深度包检测（DPI）规则，显著提升了工控系统的安全性。

最佳实践

最佳实践指南

实践 1：构建多样化的“干净”与“后门”样本数据集

说明: 为了训练或引导 AI 模型识别二进制文件中的后门，必须建立一个包含正常功能代码和已知后门代码的对比数据集。在 ~40MB 的大型二进制文件中，后门特征往往被海量正常代码淹没。通过提供多样化的样本（包括不同类型后门如硬编码密码、逻辑炸弹、网络回调等），模型可以学习区分“异常控制流”与“正常复杂逻辑”。

实施步骤:

1. 收集或编译一组与目标二进制文件架构相同的基础程序。
2. 在这些程序中人为植入多种类型的后门机制，生成带标签的“脏”样本。
3. 确保数据集中包含不同编译器优化级别和混淆程度的代码，以提高模型的鲁棒性。

注意事项: 确保数据集中的“干净”样本确实不包含任何恶意代码，否则会导致模型产生误报（将正常代码误判为后门）。

实践 2：利用 Ghidra 脚本自动化生成训练提示词

说明: 直接将 40MB 的二进制文件丢给 AI 通常会超出上下文窗口限制。最佳实践是编写 Ghidra 脚本（如 Python 或 Java 脚本）来自动分析代码结构，提取可疑函数的反汇编代码、控制流图（CFG）或伪代码，并将其结构化为文本提示词。

实施步骤:

1. 开发 Ghidra 脚本，遍历二进制文件中的所有函数。
2. 对每个函数提取关键特征：函数调用图、外部 API 引用（如网络、文件操作 API）、复杂的条件跳转逻辑。
3. 将提取的代码片段和元数据格式化为 AI 模型可理解的提示词模板。

注意事项: 在提取代码时，应剔除与逻辑无关的冗余数据（如原始字节码），专注于伪代码和逻辑结构，以减少 Token 消耗。

实践 3：实施分而治之的函数级分析策略

说明: 面对 40MB 的二进制文件，试图一次性分析整个文件是不现实的。应采用“分而治之”的策略，将二进制文件拆解为独立的函数单元。AI 模型应专注于分析单个函数或函数簇的行为，而不是全局行为，除非后门涉及跨模块的复杂调用链。

实施步骤:

1. 使用 Ghidra 的自动分析功能标记函数边界。
2. 优先分析高风险函数，例如包含 socket, system, exec, recv 等敏感 API 调用的函数。
3. 对于 AI 标记为“可疑”的函数，再扩展分析其调用者和被调用者上下文。

注意事项: 有些后门可能通过分散在多个函数中的隐晦逻辑实现，因此在分析单个函数时，不要忽略其上下文关系。

实践 4：建立基于行为特征的 AI 评估标准

说明: 后门通常表现为特定的行为模式，而非特定的代码签名。指导 AI 寻找行为特征，例如：验证特定输入值（魔术字节）、在非标准端口监听、或绕过标准认证流程。AI 应被训练为识别“意图”而非仅仅是语法。

实施步骤:

1. 定义后门的行为特征列表（例如：硬编码的字符串比较、未使用的网络连接、权限提升操作）。
2. 在提示词中明确要求 AI 检查这些特定模式。
3. 要求 AI 解释代码片段的“业务逻辑目的”，如果无法合理解释，则标记为可疑。

注意事项: 避免过度依赖单一特征，成熟的攻击者会使用混淆技术（如控制流平坦化）来隐藏行为特征。

实践 5：人机协同验证工作流

说明: AI 分析会产生大量假阳性，特别是在处理复杂的合法商业软件时。必须建立一个人机协同的验证工作流，AI 充当“筛选器”，人类安全研究员充当“裁决者”。

实施步骤:

1. 运行 AI 分析脚本，生成潜在后门列表及置信度评分。
2. 按置信度对结果排序，研究员优先审查高分项。
3. 对于 AI 确认的后门，在 Ghidra 中手动验证数据流和控制流，确认其可被触发。

注意事项: 不要完全信任 AI 的结论。AI 可能会忽略需要复杂上下文理解才能发现的深层次后门。

实践 6：动态环境验证与静态分析相结合

说明: 静态分析（AI + Ghidra）只能发现代码中的“可能性”，无法确认后门在运行时是否真实有效。最佳实践包括将静态发现的可疑代码片段在动态调试环境（如调试器或沙箱）中进行验证。

实施步骤:

1. 根据 AI 提供的线索，在调试器中设置断点（例如在可疑的字符串比较之后）。
2. 构造触发数据包或输入序列，尝试激活后门。

学习要点

• AI模型（如Claude 3.5 Sonnet）结合Ghidra能高效识别大型二进制文件（40MB）中的隐藏后门，准确率远超传统静态分析工具。
• 通过将二进制反编译代码转换为AI可处理的文本格式，可显著提升对复杂恶意代码的语义理解能力。
• AI在分析混淆或加密代码时仍存在局限性，需结合人工验证以避免误报或漏报。
• 该方法适用于逆向工程、漏洞挖掘等场景，尤其对缺乏源代码的闭源软件分析具有突破性价值。
• 实验表明，AI的上下文窗口大小和推理能力是影响二进制代码分析效果的关键因素。
• 未来可通过微调模型或集成符号执行工具进一步优化AI在二进制安全领域的表现。

常见问题

1: 为什么选择 40MB 大小的二进制文件作为测试目标？

1: 为什么选择 40MB 大小的二进制文件作为测试目标？

A: 在逆向工程和恶意软件分析领域，40MB 被认为是一个较大的文件体积。大多数开源的 AI 辅助代码分析模型通常是在较小的代码库（如几 MB 的 C/C++ 项目）上进行训练和测试的。选择 40MB 的二进制文件旨在模拟现实世界中复杂的商业软件或大型恶意软件的场景。在这个规模下，二进制文件包含大量的函数、控制流图和数据引用，传统的静态分析工具容易产生性能瓶颈或误报，而 AI 面临的挑战在于如何在海量的“噪声”中精准定位极少数的恶意代码逻辑。

2: Ghidra 在这个研究过程中扮演了什么角色？

2: Ghidra 在这个研究过程中扮演了什么角色？

A: Ghidra 是美国国家安全局（NSA）开发的开源逆向工程工具，在本研究中充当了基础的“翻译官”和预处理平台。AI 模型通常无法直接理解原始的二进制机器码（0 和 1）。因此，研究流程是先利用 Ghidra 对二进制文件进行反汇编和反编译，将其转换为人类可读的伪代码（C 语言风格代码）。随后，这些伪代码被提取出来并输入到 AI 模型中。简单来说，Ghidra 负责将二进制数据结构化，而 AI 负责理解这些结构化代码中的语义和行为逻辑。

3: AI 在寻找后门时的具体工作原理是什么？

3: AI 在寻找后门时的具体工作原理是什么？

A: AI 模型（通常是基于 Transformer 架构的大语言模型）在此任务中主要进行语义分析和模式识别。它并不是简单地查找已知的恶意代码特征码（签名），而是像人类安全研究员一样“阅读”代码。AI 会分析函数的调用关系、变量的命名逻辑（如果保留）、特定的 API 调用序列以及控制流的异常跳转。通过学习大量包含漏洞或后门特征的代码样本，AI 能够识别出诸如“硬编码密码”、“隐蔽的网络连接”或“权限提升”等可疑的编程模式，从而在庞大的代码库中标记出潜在的隐藏后门。

4: 与传统的静态分析工具相比，AI 的优势在哪里？

4: 与传统的静态分析工具相比，AI 的优势在哪里？

A: 传统的静态分析工具主要依赖预定义的规则和启发式算法。它们在检测已知的漏洞类型时效率很高，但在面对经过混淆、定制化或逻辑复杂的后门时，往往会产生大量的误报或漏报，因为它们缺乏对代码“意图”的深层理解能力。AI 的优势在于其上下文理解能力。它可以根据代码的上下文环境判断某段代码是否具有恶意意图，例如区分一个正常的调试接口和一个恶意的远程控制后门，这在仅依靠语法规则的静态工具中是很难实现的。

5: 该研究是否意味着 AI 可以完全自动化取代人工安全审计？

5: 该研究是否意味着 AI 可以完全自动化取代人工安全审计？

A: 不能完全取代。虽然 AI 表现出了惊人的辅助能力，能够大幅缩短分析时间并覆盖人类难以顾及的代码范围，但它目前仍然存在“幻觉”问题，即可能会误将正常的代码标记为恶意，或者漏掉非常隐蔽的攻击手法。在 40MB 这种规模的二进制文件中，AI 更像是高效的“过滤器”或“助手”，它负责缩小搜索范围，最终的判断和验证仍然需要经验丰富的人类安全研究员来进行复核。AI 提升了效率，但尚未达到完全独立承担复杂安全审计的可靠性水平。

6: 在 40MB 的二进制文件中隐藏后门，主要的技术难点是什么？

6: 在 40MB 的二进制文件中隐藏后门，主要的技术难点是什么？

A: 主要难点在于“隐蔽性”与“功能”的平衡。要在如此大的文件中藏匿后门，攻击者通常不会编写独立的明显恶意模块，而是会将后门逻辑分散在正常的代码流程中，或者利用看似无害的函数组合来触发恶意行为。此外，大文件意味着大量的合法数据流和函数调用，如何让后门在网络通信或文件操作中伪装成正常的系统流量或库函数调用，是测试 AI 检测能力的关键。这也测试了 AI 是否会被庞大的正常代码逻辑所干扰，从而忽略隐藏在其中的异常逻辑。

7: 这种 AI + Ghidra 的组合方案未来的应用前景如何？

7: 这种 AI + Ghidra 的组合方案未来的应用前景如何？

A: 这种组合方案代表了逆向工程和漏洞挖掘的未来趋势，即“人机协同”。随着软件规模越来越大，代码混淆技术越来越复杂，单纯依靠人工分析 40MB 甚至更大的二进制文件已不现实。未来的应用场景包括：快速分析大型闭源商业软件的安全性、协助恶意软件分析师快速理解新型勒索病毒或 APT 攻击工具的内部机制，以及在软件供应链安全审计中，对海量第三方库进行自动化的合规性检查。这将极大地降低安全分析的门槛，并提升整体的分析效率。

思考题

## 挑战与思考题

### 挑战 1: 上下文缺失与 Prompt 构建

问题**：在使用 Ghidra 分析二进制文件时，AI 模型（如 LLM）通常无法直接理解原始的字节码。为了将二进制代码转换为 AI 可以处理的文本格式，通常需要先进行反汇编和反编译。请分析：如果直接将 Ghidra 的反编译 C 代码复制粘贴给 AI，会丢失哪些关键的分析上下文信息？如何构建一个更高效的 Prompt 模板来辅助 AI 定位潜在的恶意函数入口？

提示**：考虑 Ghidra 中“函数树”、“交叉引用”以及“导入表”的作用。AI 需要哪些元数据才能理解某个特定函数是“网络相关”还是“加密相关”的？

引用

• 原文链接: https://quesma.com/blog/introducing-binaryaudit
• HN 讨论: https://news.ycombinator.com/item?id=47111440

注：文中事实性信息以以上引用为准；观点与推断为 AI Stack 的分析。

站内链接

• 分类： 安全 / AI 工程
• 标签： 二进制安全 / 后门检测 / Ghidra / 逆向工程 / 恶意软件分析 / 静态分析 / LLM / 漏洞挖掘
• 场景： 大语言模型

相关文章

• Ghidra MCP Server发布：集成110款工具实现AI辅助逆向工程
• Ghidra MCP Server：集成110项工具的AI逆向工程辅助环境
• Ghidra MCP Server：集成110款工具实现AI辅助逆向工程
• Ghidra MCP Server：集成110种工具的AI辅助逆向工程
• Ghidra MCP Server发布：集成110种工具实现AI辅助逆向工程 本文由 AI Stack 自动生成，包含深度分析与可证伪的判断。