Cloudflare利用符号执行和Z3定理证明器自动生成恶意软件触发包

从字节码到字节：Cloudflare使用符号执行自动生成恶意软件触发包

Cloudflare发布了技术深度文章，介绍使用符号执行和Z3定理证明器自动逆向工程Linux恶意软件使用的BPF字节码，将数小时的手工分析缩短为几秒。

问题：BPFDoor恶意软件

BPFDoor是一种复杂的被动Linux后门，自2021年以来被中国威胁行为者（Red Menshen/Earth Bluecrow）使用。它隐藏在BPF套接字程序中——嵌入Linux内核的小型可执行逻辑，自定义网络流量处理方式。恶意软件保持休眠状态，直到收到特定的魔术包。

为什么手动分析困难

• BPF过滤器可以有数百条指令
• 复杂的逻辑跳转使逆向工程缓慢
• 某些样本超过100条指令，分析难度呈指数增长
• 每个样本需要数小时的手工汇编分析

解决方案：符号执行+Z3

1. 符号执行：将BPF代码视为一系列约束而非仅仅是指令
2. Z3定理证明器：从恶意过滤器反向推导自动生成触发它所需的包
3. 约束求解：Z3求解约束系统以产生有效的魔术包

结果

分析时间从数小时缩短为秒、可处理复杂的100+指令BPF程序、生成与恶意软件预期输入匹配的精确触发包。

意义

更快的响应速度、可大规模部署的自动化分类、有助于构建网络检测规则的防御情报。

来源： Cloudflare Blog — 2026年4月8日