大语言模型能否反混淆二进制代码？系统性分析与BinDeObfBench基准

本文通过构建BinDeObfBench基准，系统性评估了大语言模型（LLMs）在二进制反混淆任务中的表现。核心发现包括：推理能力和领域专业知识比模型规模更重要；针对反混淆任务的监督微调（SFT）优于通用预训练；具备推理能力的模型在严重混淆场景下鲁棒性更强且跨架构泛化能力好。BinDeObfBench的发布为LLM辅助反混淆研究提供了标准化评估基础。

二进制反混淆是软件安全逆向工程的核心难题，传统方法（规则、模式匹配、符号执行）面对新型混淆技术力不从心。LLMs在代码理解等领域的能力引发了其能否解决反混淆问题的思考，但现有研究存在局限：仅关注特定混淆类型或模型架构，缺乏系统比较；现有基准覆盖场景有限，难以反映真实世界能力边界。

BinDeObfBench是首个针对LLM二进制反混淆的综合性基准，设计特点包括：1. 多阶段混淆覆盖：编译前（源代码层）、编译时（编译器IR层）、编译后（二进制层）；2. 跨架构与优化级别：涵盖x86、ARM、RISC-V等指令集，O0到O3优化级别，确保评估普适性。

实验评估得出关键发现：1. 推理能力胜过规模：中等规模但训练良好的模型可能超越未专门训练的超大模型；2. 任务微调更优：SFT模型性能始终优于通用预训练模型；3. 推理模型鲁棒性强：基于思维链的模型面对严重混淆时表现更好，且跨架构泛化能力突出；4. 上下文学习效果差异：对标准模型提升明显，对推理模型增益有限。

基于发现的实践建议：1. 优先领域特定训练：在反混淆数据集上微调模型，虽需额外标注但性能提升显著；2. 重视推理能力培养：使用思维链数据、多步推理监督等增强模型推理能力；3. 建立持续评估机制：利用BinDeObfBench定期跟踪新模型/技术表现，应对混淆技术的发展。

当前基准的局限：主要关注伪代码级反混淆，未涉及原始源代码恢复；未纳入动态混淆（如运行时自修改代码）。未来方向：扩展到更多架构（GPU内核、嵌入式固件）；加入动态分析维度；探索人机协作模式；开发更高效的微调策略降低领域适应成本。