Disassembling Obfuscated Executables with LLM

拆卸是一项具有挑战性的任务，特别是对于包含垃圾字节的混淆可执行文件，这些字节旨在诱导拆卸错误。现有的解决方案依赖于启发式或利用机器学习技术，但只能取得有限的成功。从根本上讲，这种混淆无法被打败，除非对二进制可执行文件的语义有深入的理解，这是由大型语言模型（LLMs）的出现所可能实现的。在本文中，我们提出了DisasLLM，一种新颖的LLM驱动的拆卸器，以克服分析混淆可执行文件的挑战。DisasLLM由两个组件组成：基于LLM的分类器，确定汇编代码片段中的指令是否被正确解码，以及利用该模型进行端到端拆卸混淆可执行文件的拆卸策略。我们在一组严重混淆的可执行文件上评估了DisasLLM，结果显示它明显优于其他最先进的拆卸解决方案。

解决问题：本论文旨在解决分析混淆可执行文件的难题，提出了一种新型的基于大型语言模型的反汇编器。

关键思路：本论文的关键思路是使用大型语言模型来解码汇编代码，识别正确的指令并进行反汇编，以此来应对混淆可执行文件的挑战。相比现有的启发式方法和机器学习技术，这种方法能够更好地应对混淆可执行文件的挑战。

其他亮点：论文使用了一个基于大型语言模型的分类器来判断汇编代码中的指令是否正确解码，同时还提出了一个反汇编策略来实现端到端的混淆可执行文件反汇编。实验结果表明，该方法在处理混淆可执行文件时明显优于其他现有的反汇编方法。论文还提供了开源代码和使用的数据集，值得进一步研究。

相关研究：最近的相关研究包括使用启发式方法和机器学习方法来解决混淆可执行文件的反汇编问题。例如，之前的研究使用了基于规则的方法来应对混淆可执行文件，或者使用了机器学习技术来训练分类器来区分正确和错误的指令。