字节码

摘要： 目前智能合约漏洞检测技术手段单一,多数方法只针对合约的源代码,鲜有面向智能合约其他类型的安全检测。本文在仅给定智能合约二进制代码的情况下,针对最高频的可重入漏洞、委托调用漏洞和时间戳依赖漏洞,设计并实现了一种基于关键路径的智能合约漏洞检测方法。基于合约字节码构建智能合约执行控制流图;根据智能合约漏洞特点定义关键指令及规则,生成关键路径;最后采用规则匹配实现漏洞检测。通过对以太坊网络上8000个智能合约进行实验测试,结果表明:该方法可有效检测上述3类漏洞,准确度高达93.75%。

摘要： 近年来,区块链技术已在金融、医疗和政务等领域得到了广泛应用和关注。然而,由于智能合约的不易篡改性和运行环境的特殊性,各类安全问题频繁出现。一方面是合约开发者在编写合约时出现的代码安全问题,另一方面是以太坊出现不少高风险智能合约,普通用户很容易被高风险合约提供的高回报所吸引,但对合约的风险却无从知晓。然而,关于智能合约安全的研究主要集中于代码安全方面,对合约功能识别的研究相对较少。假如能对智能合约功能进行准确分类,将有助于人们更好地理解智能合约的行为,同时保障智能合约生态安全,减少或挽回用户的损失。已有的智能合约分类方法通常依赖于对智能合约开源代码的分析,但以太坊发布的合约仅强制要求部署字节码,且只有极少数合约公布了其开源代码。因此,提出了一种基于字节码的以太坊智能合约分类方法。收集以太坊智能合约字节码和对应类别标签,然后提取操作码频率特征以及控制流图特征;通过实验对特征重要性进行分析,获取适合的图向量维度及最优的分类模型;在交易所、金融、赌博、游戏和高风险5个类别的智能合约多分类任务中进行实验验证,使用XGBoost分类器时的F1值达到0.9138。实验结果表明所提方法能较好地完成以太坊智能合约的分类任务,并且能够应用于现实中的智能合约类别预测。

摘要： 为了发现代码中可能存在的潜在错误,通过探究一种典型的开源Java静态代码分析工具FindBugs的实现原理,分析此工具在函数返回值缺陷检测模式的实现机制,进而发现其在检测自定义函数返回值上的不足.通过分析FindBugs源代码并且针对此函数返回值缺陷模式具有的不足进行相应地改进,并将改进后的检测工具对被测代码进行检验.通过检验发现,改进前的检测工具无法对自定义的函数返回值进行检测,改进后能够检测到忽略自定义函数返回值问题,且提供一些错误提示信息.改进后的代码分析工具能够有效地检测到此类函数返回值问题,避免了潜在bug的发生,一定程度上提高了代码的质量.

摘要： 为了发现代码中可能存在的潜在错误,通过探究一种典型的开源Java静态代码分析工具FindBugs的实现原理,分析此工具在函数返回值缺陷检测模式的实现机制,进而发现其在检测自定义函数返回值上的不足。通过分析FindBugs源代码并且针对此函数返回值缺陷模式具有的不足进行相应地改进,并将改进后的检测工具对被测代码进行检验。通过检验发现,改进前的检测工具无法对自定义的函数返回值进行检测,改进后能够检测到忽略自定义函数返回值问题,且提供一些错误提示信息。改进后的代码分析工具能够有效地检测到此类函数返回值问题,避免了潜在bug的发生,一定程度上提高了代码的质量。

摘要： 针对安卓应用容易被恶意逆向工程,引起代码注入、隐私数据泄露和侵害知识产权等安全问题.提出一种结合Java方法抽离和映射的代码混淆技术.其中,Java方法抽离利用了安卓Native化特性,将Java方法从DEX中抽离后封装到SO中.此外,Java方法映射对其指令操作码进行映射混淆构造不透明指令.随后通过Java方法注册和映射解释执行环境,对抽离映射混淆后的Java方法进行Native层的映射解释执行,确保混淆后的安卓应用运行逻辑的正确性.最后,从抗逆向工程有效性和运行性能两方面对安卓应用混淆效果进行实验.实验结果表明本文技术在不影响正常运行性能的情况下,具有良好的抵御逆向工程分析效果.

摘要： During the evolution of software,the debugging of programs is an important and necessary process.For multithreaded programs,the interleaving and scheduling are non-deterministic.Different scheduling can give different results,so it is difficult for developers to debug a multithreaded program.Therefore,this paper analyzes the concurrency bugs in real projects,presents a new multithreaded debugging tool,and proposes the concept of sequence point.It designs the scheduling language for debugging,instruments the test programs in bytecode level,and makes threads schedule in a desired sequence.It implements a debugging plugin in Eclipse.Experimental results show that compared with existing tool IMunit,the tool reduces developers’workload and enhances two debugging scenarios.It has better availability.%在软件演化过程中，代码的调试是不可或缺的重要环节。对于多线程程序，线程的交错和调度是非确定的，不同的线程调度会产生不同的结果，程序员较难调试多线程程序。为此，对实际项目中多线程程序出现的错误进行分析，提出一种新的多线程调试工具，并给出顺序点概念。设计用于调试的线程调度语言，在字节码层面对测试程序进行插桩，使线程按照期望的顺序调度。在此基础上实现一个 Eclipse上的调试插件。实验结果表明，与现有工具 IMunit相比，该调试工具减少了程序员的工作量，并拓展了两类程序的调试场景，具有较好的实用性。

摘要： 随着侵权现象的不断发生,加强Android软件的保护已成为一个研究热点.对软件逆向工程及其对抗措施进行分析和评价,指出重点的研究领域;针对Android软件逆向工程,在研究APK安装原理及dex文件格式的基础上,采取软件运行时自修改dalvik字节码的方案有效改变了代码的执行流程,增加了代码的迷惑性.通过实验实现对软件关键模块的隐藏,使分析者无法得到正确的代码流程,证明了该方法在软件保护领域具有可行性,为软件保护提供了新的思路.

摘要： 由于Android系统的事件驱动特性,应用程序中存在着大量的隐式调用,这是静态分析工具构建控制流图过程中面临的一个比较大的挑战.本文结合工具EdgeMiner提供的描述框架层中隐式调用的API总结,利用过程内后向数据流分析技术,提取应用程序中所有与回调方法相关的隐式控制流.结合应用程序中的显式控制流,我们开发出了一款比较精确的,可扩展的原型工具用来构建Android应用程序的控制流图.实验结果表明,本文开发的控制流提取工具可以发现更多的隐式调用关系.

摘要： Java语言提供了同步锁、可重入锁和读写锁等几种锁机制,在并行程序设计中不同的数据结构使用这几种锁机制时获得的性能通常是不同的.为了在不同的锁机制之间进行自动转换,进而帮助程序员了解程序的性能,本文提出了一种面向Java锁机制的字节码自动重构框架,并实现了字节码重构工具Lock2Locko Lock2Lock在Quad中间表示的基础上对字节码进行静态分析,并对分析的结果进行一致性验证,通过Javassist完成字节码的重构.使用红黑树、消费者生产者程序以及SPECjbb2005三个测试程序对字节码重构框架和Lock2Lock重构工具进行了测试,结果表明,Lock2Lock可以成功的实现从同步锁到可重入锁或读写锁的重构.

摘要： 为解决复杂开放环境中的分布式软件的可信问题，针对无源代码遗留系统提出了一种基于字节码的软件监控及可信演化编程框架，将软件监控以及演化能力纳入软件构造和运行过程中。该框架包括业务逻辑及监控需求描述模块(BMDM)、监控能力注入模块(MCIM)和在线演化处理模块(OEM)3部分，BMDM为用户提供了MRL 语言来进行监控需求的描述；MCIM将监控需求编译为方面代码，通过基于字节码的AOP技术植入源系统，生成具备监控能力的目标系统，并将监控信息以事件形式发送到OEM；OEM将获得的状态事件与预定义的演化规则进行实时匹配，当预定义的演化规则被触发时，执行演化动作，实现对系统行为的实时监测及修正。最后，通过实际案例分析表明该框架能够有效地构造具有监控及演化能力的可信软件。

摘要： 虚拟机是平台无关字节码程序的解释执行环境，是当今网络软件和计算设备中广泛使用的重要技术。rn 针对字节码程序和虚拟机平台的程序验证研究，可以提高相关软件的可信程度，具有重要的实用价值和理论价值。虽然近年提出了一系列用于字节码程序的逻辑系统，但是缺乏针对虚拟机实现的可信验证工作。因此即便是已验证字节码程序，一旦虚拟机出错依然无法正确运行。本文给出一种虚拟机构造和验证方案：1)给出字节码程序运行环境BCM(ByteCode Nachine)的形式化定义：2)采用机器语言构造虚拟机CertVM (Certified VirtualMachine)，并基于FPCC (Foundational Proof-CarryingCode)方法证明该虚拟机符合相应程序规范：3)证明虚拟机的实现程序和BCM之间具有模拟关系，并利用辅助工具Coq给出证明，所有证明均可机器自动检查。CertVM能够确保“只要硬件环境不出问题，已验证的字节码程序能够在给定虚拟机环境中正常运行”。本文给出的可信虚拟机构造方案，为广泛使用的一类复杂网络应用程序的深入分析、准确验证和可信运行提供理论帮助，同时为可信软件构造问题的解决提供一种良好思路和有益尝试。

摘要： 介绍了基于类文件字节码的Java软件水印技术.该技术通过修改操作数和编码操作码,把水印信息以二进制代码的形式嵌入到Java类文件的字节码中,从而对Java类文件进行有效保护.在Eclipse环境下实现了水印方案,完成了水印的嵌入和提取.

摘要： 在已知的Java捕捉/重放工具中,只有一种基于修改字节码的组合方案具有平台无关性并且达到了真正的通用性。该组合方案的捕捉机制通过对Java字节码程序进行逐指令的插入修改以捕捉虚拟机对线程进行抢占式调度引起的线程切换信息,重放机制采用了JReplay申所提出的方法。此方法的缺点是大大增加了字节码程序的尺寸和重放日志所占的空间,从而严重降低了程序的执行速度。本文提出并实现了一种对这种组合方案的改进,通过实验证实了改进方案的可行性和有效性。本文的基本思想是通过小范围的修改字节码程序屏蔽Java虚拟机的线程调度机制,用白定义的非抢占式调度算法取而代之。

摘要： Java语言依靠Java虚拟机对字节码程序的支持,实现了跨平台特征.本文介绍了一种Java字节码编程语言,用于简化Java字节码程序的开发,支持字节码级的程序优化和程序生成.

摘要： 并发程序中时序的不确定性导致的错误很难被检测.本文介绍了一种基于并发错误模式的多线程动态测试方法,通过在并发事件处插入线程时序改变探针,发现并发错误.本文首先介绍了出现在并发程序中的几种常见的错误模式,接着根据错误模式介绍插装策略.

摘要： 并发程序中时序的不确定性导致的错误很难被检测.本文介绍了一种基于并发错误模式的多线程动态测试方法,通过在并发事件处插入线程时序改变探针,发现并发错误.本文首先介绍了出现在并发程序中的几种常见的错误模式,接着根据错误模式介绍插装策略.

摘要： 并发程序中时序的不确定性导致的错误很难被检测.本文介绍了一种基于并发错误模式的多线程动态测试方法,通过在并发事件处插入线程时序改变探针,发现并发错误.本文首先介绍了出现在并发程序中的几种常见的错误模式,接着根据错误模式介绍插装策略.

摘要： 并发程序中时序的不确定性导致的错误很难被检测.本文介绍了一种基于并发错误模式的多线程动态测试方法,通过在并发事件处插入线程时序改变探针,发现并发错误.本文首先介绍了出现在并发程序中的几种常见的错误模式,接着根据错误模式介绍插装策略.

摘要： 本发明适用于计算机技术领域，提供了一种字节码加密的方法、字节码解密的方法及终端，该方法包括：检测到项目对象模型POM存在加密插件包时，基于预设属性配置POM中的待加密的目标字节码所属的目标Java包的路径；获取目标Java包，并将目标Java包打包生成jar包；根据jar包的包信息确定目标字节码对应的加密环境；通过Java类库调用动态库，为目标字节码设置与加密环境对应的预设参数；采用预设参数对应的加密算法对完成设置的目标字节码加密，生成加密jar包。上述方案，在不同加密环境下采用不同的加密算法对字节码进行加密，不容易被agent破解，有效地保护字节码文件，防止反编译，从而有效的保护了源代码。

摘要： 本发明涉及字节码优化数据库及其建立方法以及字节码优化方法。其中，建立JAVA卡字节码优化数据库的方法包括：扫描能安装在所述JAVA卡上的应用程序的字节码序列，以获得所扫描的字节码序列中特定的字节码段，其中，特定的字节码段包括一个或多个重复使用达到预定次数的字节码段；构造静态函数来分别对应所获得的特定的字节码段；并且存储特定的字节码段与对应的静态函数的关联关系，以建立JAVA卡字节码优化数据库。利用本发明能显著优化重复的字节码，缩减存储消耗，提高效率并实现兼容。

摘要： 本发明涉及一种字节码插桩方法，包括：响应于工程文件的编译指令，运行插桩插件，所述插桩插件包括基础配置文件，所述基础配置文件中包括根据字节码插桩需求所配置的插桩处理规则；解析所述基础配置文件，并获取所述插桩处理规则；通过指定接口获得待插桩类；以及根据所述插桩处理规则处理所述待插桩类，以实现所述字节码插桩需求。根据本发明的字节码插桩方法进行字节码插桩，对业务代码无侵入，使用者可以通过快速对基础配置文件的简单操作即可达到字节码插桩需求，无需额外Java代码开发，具有灵活方便快捷的优点。

摘要： 本申请适用于计算机技术领域，提供了一种字节码执行方法、字节码执行装置及终端设备，所述方法包括：获取待执行的第一字节码；将所述第一字节码转换为自定义格式的第二字节码，所述第二字节码包含所述第一字节码的执行过程中每一读写数据操作对应的索引；基于所述索引确定一段目标内存，所述目标内存包括至少一个虚拟寄存器，各个虚拟寄存器由不同的索引进行标识；基于所述第二字节码中的各个索引所标识的虚拟寄存器，执行所述第二字节码。通过上述方法，可以使虚拟机解释执行字节码的性能得到提升。

摘要： 本说明书实施例提供了一种用于处理和运行字节码的方法、装置及字节码运行系统。在字节码处理方法中，字节码处理设备从云端服务器获取待下发的字节码，对字节码执行字节码扫描，以使用操作码映射关系来确定出字节码中待替换的至少一个第一操作码，并使用对应的第二操作码来替换所确定出的第一操作码，将经过替换的字节码下发给字节码运行装置，其中，操作码映射关系包括第一操作码和第二操作码之间的映射关系。

摘要： 本公开是关于一种字节码编译方法、字节码编译装置以及计算机可读存储介质。字节码编译方法，应用于终端，字节码编译方法包括：确定终端的当前字节码编译场景。基于字节码编译场景与CPU核信息之间的对应关系，确定与当前字节码编译场景匹配的当前CPU核信息，核信息包括：核的执行能力和核的数量。根据当前字节码编译场景和当前CPU核信息，进行字节码编译。通过本公开提供的字节码编译方法，能够降低卡顿现象出现的概率，从而提升用户使用终端的使用体验。

摘要： 本发明适用于计算机技术领域，提供了一种字节码加密的方法、字节码解密的方法及终端，该方法包括：检测到项目对象模型POM存在加密插件包时，基于预设属性配置POM中的待加密的目标字节码所属的目标Java包的路径；获取目标Java包，并将目标Java包打包生成jar包；根据jar包的包信息确定目标字节码对应的加密环境；通过Java类库调用动态库，为目标字节码设置与加密环境对应的预设参数；采用预设参数对应的加密算法对完成设置的目标字节码加密，生成加密jar包。上述方案，在不同加密环境下采用不同的加密算法对字节码进行加密，不容易被agent破解，有效地保护字节码文件，防止反编译，从而有效的保护了源代码。

摘要： 本发明涉及字节码优化数据库及其建立方法以及字节码优化方法。其中，建立JAVA卡字节码优化数据库的方法包括：扫描能安装在所述JAVA卡上的应用程序的字节码序列，以获得所扫描的字节码序列中特定的字节码段，其中，特定的字节码段包括一个或多个重复使用达到预定次数的字节码段；构造静态函数来分别对应所获得的特定的字节码段；并且存储特定的字节码段与对应的静态函数的关联关系，以建立JAVA卡字节码优化数据库。利用本发明能显著优化重复的字节码，缩减存储消耗，提高效率并实现兼容。

摘要： 本发明实施例提供一种跨平台的字节序处理方法，以解决处理表示多字节数据的字节码时在字节序不同的平台上直接运行字节码而导致结果错误的问题。该方法包括：对表示多字节数据的字节码进行预处理；若所述表示多字节数据的字节码经过预处理后转换成表示单字节数据的字节码，则运行所述表示单字节数据的字节码，否则，按照预处理平台的字节序和运行平台的字节序相同与否调整所述多字节数据的字节序以还原所述多字节数据。本发明规避了不同字节序的平台在运行同一字节码时因字节序问题导致的错误，与此同时，在运行平台将多字节数据的字节序调整到与运行平台的字节序相同，可以将所述多字节数据正确保存于运行平台，便于后续正确使用所述多字节数据。

摘要： 本申请提供了一种通过分析字节码自动生成接口文档的方法及系统，其特征在于，包括：S1、上传编译打包好的JAR、WAR包；S2、解压JAR、WAR包，通过ASM字节码工具扫描并提取出JAR、WAR包中的第一格式文件；S3、将第一格式文件转化为ClassNode类型，将ClassNode类型的第一格式的文件命名为第二文件；S4、利用ASM Tree API的第一工具获取第二文件的类结构信息；S5、所述类结构信息结合第一注解信息，解析出第二文件的RESTful API文档信息。本发明能够解决一些没有引入Swagger框架、不想修改源码造成对业务代码的侵入，而又想获取系统RESTful API文档的棘手问题。