CN113946803A - 针对目标程序具有反调试机制进行自动绕过的方法和装置 - Google Patents
针对目标程序具有反调试机制进行自动绕过的方法和装置 Download PDFInfo
- Publication number
- CN113946803A CN113946803A CN202111255594.7A CN202111255594A CN113946803A CN 113946803 A CN113946803 A CN 113946803A CN 202111255594 A CN202111255594 A CN 202111255594A CN 113946803 A CN113946803 A CN 113946803A
- Authority
- CN
- China
- Prior art keywords
- signal
- module
- processing function
- signal processing
- target program
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 41
- 230000007246 mechanism Effects 0.000 title claims abstract description 19
- 230000006870 function Effects 0.000 claims description 113
- 230000004044 response Effects 0.000 claims description 27
- 230000004048 modification Effects 0.000 claims description 26
- 238000012986 modification Methods 0.000 claims description 26
- 230000003068 static effect Effects 0.000 claims description 20
- 238000004590 computer program Methods 0.000 claims description 11
- 238000005314 correlation function Methods 0.000 claims description 7
- 230000008859 change Effects 0.000 claims description 4
- 238000010586 diagram Methods 0.000 description 9
- 238000005516 engineering process Methods 0.000 description 5
- 238000004891 communication Methods 0.000 description 4
- 230000003287 optical effect Effects 0.000 description 4
- 230000008569 process Effects 0.000 description 4
- 238000002347 injection Methods 0.000 description 2
- 239000007924 injection Substances 0.000 description 2
- 230000000644 propagated effect Effects 0.000 description 2
- 239000004065 semiconductor Substances 0.000 description 2
- 230000009131 signaling function Effects 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
- 238000012038 vulnerability analysis Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
- G06F21/12—Protecting executable software
- G06F21/14—Protecting executable software against software analysis or reverse engineering, e.g. by obfuscation
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/445—Program loading or initiating
- G06F9/44505—Configuring for program initiating, e.g. using registry, configuration files
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/445—Program loading or initiating
- G06F9/44521—Dynamic linking or loading; Link editing at or after load time, e.g. Java class loading
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Multimedia (AREA)
- Technology Law (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Debugging And Monitoring (AREA)
Abstract
本申请实施例公开了针对目标程序具有反调试机制进行自动绕过的方法和装置,该方法包括:遍历***中加载的所有模块,判断模块是否属于目标程序,确定属于则记录属于目标程序的模块的模块信息;调用信号处理函数,遍历***的所有信号值获取注册的处理信号相关函数,判断信号处理函数signal是否属于目标程序模块,确定属于则注册新的通用信号处理函数替换原始信号处理函数signal,保存原始信号处理函数;目标程序接收信号后,启动新的通用信号处理函数,保存上下文context值,根据信号值获取对应的原始信号处理函数signal进行调用;原始信号处理函数signal返回后,判断上下文context值中的关键寄存器值是否相同,确定不相同则进行动态修改和/或静态修改代码。
Description
技术领域
本申请涉及计算机软件逆向分析技术领域,具体涉及针对目标程序具有反调试机制进行自动绕过的方法和装置。
背景技术
调试是软件逆向分析和逆向最常用的技术之一,尤其是在病毒分析、漏洞分析等安全领域中发挥着非常重要的作用。然而,一些软件的作者,尤其是恶意软件的作者通常会应用一些技术手段来阻止他人分析自己的软件。在这些技术手段中,反调试可以说是最被广泛使用的一种技术。目前,流行的反调试技术的主要可以分为两大类,一类是基于调试器检测技术,另一类是基于调试器干扰技术。
在程序分析过程中,需要在没有源代码的情况下对程序(Linux、Android ELF文件)进行逆向分析和动态调试,但是这些程序会采用反分析、反调试机制进行干扰。在目标程序运行过程中,主动注册某些信号处理函数,然后在运行到某些时机(如关键代码流程)主动触发某些信号(如SIGILL),然后在处理函数中修改寄存器值(如PC),达到动态修改程序流程执行的目的,从而干扰静态分析和动态调试的目的。
ELF文件为了增加分析难度,通常会动态修改执行路径,干扰动态、静态分析,增加分析难度,其中,利用Linux信号机制作为反调试方法是常见的一种手段。
由此可见,如何剔除干扰,降低分析难度,还原出真正的调用流程关系是本领域亟需解决的问题。
发明内容
本申请实施例提出了针对目标程序具有反调试机制进行自动绕过的方法和装置,来解决以上背景技术部分提到的技术问题。
第一方面,本申请实施例提供了一种针对目标程序具有反调试机制进行自动绕过的方法,该方法包括以下步骤:
S1、遍历当前计算机***中加载的所有模块,判断模块是否属于目标程序,响应于确定模板属于目标程序,记录属于目标程序的模块的模块信息,其中模块信息包括模块中可执行代码加载的基址和大小;
S2、通过调用信号处理函数,遍历计算机***的所有信号值以获取注册的处理信号相关函数,判断处理信号相关函数中的信号处理函数signal是否属于所述属于目标程序的模块,响应于确定信号处理函数signal属于,则注册新的通用信号处理函数以替换原始信号处理函数signal,同时保存原始信号处理函数;
S3、目标程序接收信号后,启动新的通用信号处理函数,首先保存上下文context值,再根据信号值获取对应的原始信号处理函数signal进行调用;
S4、原始信号处理函数signal返回后,判断上下文context值中的关键寄存器值是否相同,响应于确定关键寄存器值不相同,则进行动态修改和/或静态修改代码,响应于确定关键寄存器值相同,则不做处理。
步骤S1-S4,利用模块基址和信号处理函数地址定位程序自定义的信号处理函数,并注册新的通用信号处理函数来改变程序流程,从而还原出真正的调用流程关系。
在一些实施例中,步骤S1-S4均在动态链接库文件中执行,所述方法还包括包括:
创建动态链接库文件,并将动态链接库文件注入到计算机***正在运行的目标程序中,动态链接库文件加载完成,在动态链接库文件的构造函数中执行S1-S4的操作。
在构造函数中执行上述操作的目的在于:该动态链接库文件加载完成后,能够自动执行上述附有上述功能的代码。
在一些实施例中,步骤S1中的遍历当前计算机***中加载的所有模块,判断模块是否属于目标程序,具体还包括:
通过/proc/self/maps文件,遍历当前计算机***中加载的所有模块;
通过比较模块的所在路径,判断模块是否属于目标程序;
若模块属于目标程序,记录属于目标程序的模块的模块信息,其中模块信息包括模块中可执行代码加载的基址和大小,并以路径为key,以基址和大小为值,记录到map中;若模块不属于目标程序,则不做处理。
通过该方式先过滤出属于目标程序的模块并记录模块信息,而不属于目标程序的模块则不进行处理,可以有效提高处理速度。
在一些实施例中,步骤S2中的判断处理信号相关函数中的信号处理函数signal是否属于所述属于目标程序的模块,具体还包括:
确定信号处理函数signal地址是否处于模块的基址或者模块基址加大小的范围内;
响应于确定处于模块的基址或者模7块基址加大小的范围内,确定信号处理函数signal属于目标程序的模块。
通过该方式可方便快速地判断识别信号处理函数属于目标程序的模块以进行下一步操作,而如果该信号处理函数属于计算机***默认的或者其他非目标程序自身模块注册的,则不进行处理。
在一些实施例中,步骤S2中的判断处理信号相关函数中的信号处理函数signal是否属于属于目标程序的模块,响应于确定信号处理函数signal属于,则注册新的通用信号处理函数以替换原始信号处理函数signal,同时保存原始信号处理函数至map中,其中,map的key为信号编号,map的值为原来信号的信号处理函数。
在一些实施例中,步骤S4中的响应于确定关键寄存器值不相同,则进行动态修改和/或静态修改代码,具体还包括:
根据修改前后的上下文context值中的关键寄存器值,计算出真实的跳转地址;
动态的修改寄存器所指向的代码,使间接跳转改为直接跳转;
记录并保存寄存器的数据至数据库中,供静态分析工具使用以剔除静态分析的干扰代码。
通过该操作可以简化流程,实现动态修改或静态修改代码。
第二方面,本申请实施例提供了一种针对目标程序具有反调试机制进行自动绕过的装置,该装置包括:
确定模块,用于遍历当前计算机***中加载的所有模块,判断模块是否属于目标程序,响应于确定模板属于目标程序,记录属于目标程序的模块的模块信息,其中模块信息包括模块中可执行代码加载的基址和大小;
替换模块,用于通过调用信号处理函数,遍历计算机***的所有信号值以获取注册的处理信号相关函数,判断处理信号相关函数中的信号处理函数signal是否属于所述属于目标程序的模块,响应于确定信号处理函数signal属于,则注册新的通用信号处理函数以替换原始信号处理函数signal,同时保存原始信号处理函数;
启动模块,用于目标程序接收信号后,启动新的通用信号处理函数,首先保存上下文context值,再根据信号值获取对应的原始信号处理函数signal进行调用;
修改模块,用于原始信号处理函数signal返回后,判断上下文context值中的关键寄存器值是否相同,响应于确定关键寄存器值不相同,则进行动态修改和/或静态修改代码,响应于确定关键寄存器值相同,则不做处理。
在一些实施例中,该装置还包括:
创建模块,用于创建动态链接库文件,并将动态链接库文件注入到计算机***正在运行的目标程序中,上述的确定模块、替换模块、启动模块和修改模块均存储于动态链接库文件中。
第三方面,本申请实施例提供了一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序在被处理器执行时实施如上述任一项所述的方法。
本申请实施例提供的针对目标程序具有反调试机制进行自动绕过的方法和装置,利用模块基址和处理信号函数地址定位程序自定义的原始信号处理函数signal,利用信号处理改变程序流程,能够有效剔除干扰,降低分析难度,还原出真正的调用流程关系。
附图说明
通过阅读参照以下附图你,所作的对非限制性实施例所作的详细描述,本申请的其它特征、目的和优点将会变得更明显:
图1是根据本申请的针对目标程序具有反调试机制进行自动绕过的方法的一个实施例的流程图;
图2是根据本申请的针对目标程序具有反调试机制进行自动绕过的方法的另一具体实施例的流程示意图;
图3是根据本申请的针对目标程序具有反调试机制进行自动绕过的装置的一个实施例的结构示意图;
图4是适于用来实现本申请实施例的终端设备或服务器的计算机***的结构示意图。
具体实施方式
下面结合附图和实施例对本申请作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释相关发明,而非对该发明的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与有关发明相关的部分。
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。
图1示出了本申请的针对目标程序具有反调试机制进行自动绕过的方法的一个实施例的流程图100,图2是另一具体实施例的流程示意图,结合参考图1和图2,该自动绕过的方法,包括以下步骤:
步骤101,创建动态链接库文件,并将动态链接库文件注入到计算机***正在运行的目标程序中,动态链接库文件加载完成,在动态链接库文件的构造函数(constructor)中执行步骤102-105的操作。
在本实施例中,将动态链接库文件注入到计算机***正在运行的目标程序中的注入方式可以采用LD_PRELOAD或者其他注入方式。所有功能在该动态链接库文件中完成,而将后续操作放置于构造函数(constructor)中的目的在于:该动态链接库文件加载完成后,能够自动执行步骤102-105的功能代码。
步骤102,遍历当前计算机***中加载的所有模块,判断模块是否属于目标程序,响应于确定模板属于目标程序,记录属于目标程序的模块的模块信息,其中模块信息包括模块中可执行代码加载的基址和大小。其中,该计算机***为Linux***。
在本实施例中,遍历当前计算机***中加载的所有模块,判断模块是否属于目标程序,具体还包括:
动态链接库文件加载完成后,首先通过/proc/self/maps文件,遍历当前计算机***中加载的所有模块;
通过比较模块的所在路径,判断模块是否属于目标程序;
若模块属于目标程序,记录属于目标程序的模块的模块信息,其中模块信息包括模块中可执行代码加载的基址和大小,并以路径为key,以基址和大小为值,记录到map中;若模块不属于目标程序,则不做处理。
通过该方式进行初步判断,过滤出属于目标程序自己的模块并记录模块信息,而不属于目标程序的模块则不进行处理,可以有效提高处理速度。
步骤103,通过调用信号处理函数,遍历计算机***的所有信号值以获取注册的处理信号相关函数(struct sigaction),判断处理信号相关函数中的信号处理函数signal是否属于所述属于目标程序的模块,响应于确定信号处理函数signal属于,则注册新的通用信号处理函数以替换原始信号处理函数signal,同时保存原始信号处理函数。
其中,该处理信号相关函数(struct sigaction)包括signal、sigprocmask、sigpending、sigsuspend和sigemptyset,该计算机***为Linux***。
在本实施例中,判断处理信号相关函数中的信号处理函数signal是否属于所述属于目标程序的模块,具体还包括:
确定信号处理函数signal地址是否处于模块的基址或者模块基址加大小的范围内;
响应于确定处于模块的基址或者模7块基址加大小的范围内,确定信号处理函数signal属于目标程序的模块。
通过该方式可方便快速地判断识别信号处理函数属于目标程序的模块以进行下一步操作,而如果不属于,则表面该信号处理函数是计算机***默认或者其他非目标程序自身模块注册的,因此不进行处理。
进一步的,在本实施例中,可将原始信号处理函数保存至map中,其中,map的key为信号编号,map的值(value)为原来信号的信号处理函数。
完成上述步骤后,目标程序接收到信号后,不再进入程序设置的信号处理函数,而是进入由动态链接库文件设置的新的通用信号处理函数。
步骤104,目标程序接收信号后,启动新的通用信号处理函数,首先保存上下文context值,再根据信号值从map中获取对应的原始信号处理函数signal进行调用。
步骤105,原始信号处理函数signal返回后,判断上下文context值中的关键寄存器值是否相同,响应于确定关键寄存器值不相同,则进行动态修改和/或静态修改代码,响应于确定关键寄存器值相同,则不做处理。
在本实施例中,通过对比context值中的关键寄存器值(如PC)是否相同,如相同,则表示代码流程未改变;如不同,说明代码流程在该信号处理函数中做了改变。
进一步的,在本实施例中,响应于确定关键寄存器值不相同,则进行动态修改和/或静态修改代码,具体还包括:
根据修改前后的上下文context值中的关键寄存器值,例如PC寄存值,计算出真实的跳转地址;
其中,真实跳转地址=PC寄存器值-模块基址,模块基址可以通过***中/proc/self/maps获取、或***提供的接口(如dl_iterate_phdr)获取。
然后,进行动态的修改PC寄存器所指向的代码,使其间接跳转改为直接跳转,可简化流程;
或者,记录并保存PC寄存器的数据至数据库中,在静态分析时提供给静态分析工具使用,静态分析工具可根据相关信息,剔除静态分析的干扰代码。
本申请提供的方法,利用模块基址和处理信号函数地址定位程序自定义的原始信号处理函数signal,利用信号处理改变程序流程,能够有效剔除干扰,降低分析难度,还原出真正的调用流程关系。
进一步参考图3,作为对上述图1所示方法的实现,本申请提供了一种针对目标程序具有反调试机制进行自动绕过的装置的一个实施例,该装置实施例与图1所示的方法实施例相对应,该装置具体可以应用于各种电子设备中。
如图3所示,本实施例的针对目标程序具有反调试机制进行自动绕过的装置200包括:
创建模块201,用于创建动态链接库文件,并将动态链接库文件注入到计算机***正在运行的目标程序中,下面提及的确定模块202、替换模块203、启动模块204和修改模块205均存储于该动态链接库文件中。
确定模块202,用于遍历当前计算机***中加载的所有模块,判断模块是否属于目标程序,响应于确定模板属于目标程序,记录属于目标程序的模块的模块信息,其中模块信息包括模块中可执行代码加载的基址和大小。
替换模块203,用于通过调用信号处理函数,遍历计算机***的所有信号值以获取注册的处理信号相关函数,判断处理信号相关函数中的信号处理函数signal是否属于所述属于目标程序的模块,响应于确定信号处理函数signal属于,则注册新的通用信号处理函数以替换原始信号处理函数signal,同时保存原始信号处理函数;
启动模块204,用于目标程序接收信号后,启动新的通用信号处理函数,首先保存上下文context值,再根据信号值获取对应的原始信号处理函数signal进行调用;
修改模块205,用于原始信号处理函数signal返回后,判断上下文context值中的关键寄存器值是否相同,响应于确定关键寄存器值不相同,则进行动态修改和/或静态修改代码,响应于确定关键寄存器值相同,则不做处理。
下面参考图4,其示出了适于用来实现本申请实施例的终端设备或服务器的计算机***300的结构示意图。图4示出的终端设备或服务器仅仅是一个示例,不应对本申请实施例的功能和使用范围带来任何限制。
如图4所示,计算机***300包括中央处理单元(CPU)301,其可以根据存储在只读存储器(ROM)302中的程序或者从存储部分308加载到随机访问存储器(RAM)303中的程序而执行各种适当的动作和处理。在RAM303中,还存储有***300操作所需的各种程序和数据。CPU301、ROM302以及RAM303通过总线304彼此相连。输入/输出(I/O)接口305也连接至总线304。
以下部件连接至I/O接口305:包括键盘、鼠标等的输入部分306;包括液晶显示器(LCD)等以及扬声器等的输出部分307;包括硬盘等的存储部分308;以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分309。通信部分309经由诸如因特网的网络执行通信处理。驱动器310也根据需要连接至I/O接口305。可拆卸介质311,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器310上,以便于从其上读出的计算机程序根据需要被安装入存储部分308。
特别地,根据本公开的实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本公开的实施例包括一种计算机程序产品,其包括承载在计算机可读介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信部分309从网络上被下载和安装,和/或从可拆卸介质311被安装。在该计算机程序被中央处理单元(CPU)301执行时,执行本申请的方法中限定的上述功能。需要说明的是,本申请所述的计算机可读介质可以是计算机可读信号介质或者计算机可读介质或者是上述两者的任意组合。计算机可读介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的***、装置或器件,或者任意以上的组合。计算机可读介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本申请中,计算机可读介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行***、装置或者器件使用或者与其结合使用。而在本申请中,计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行***、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:无线、电线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言或其组合来编写用于执行本申请的操作的计算机程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、Smalltalk、C++,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)—连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
附图中的流程图和框图,图示了按照本申请各种实施例的***、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,该模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的***来实现,或者可以用专用硬件与计算机指令的组合来实现。
描述于本申请实施例中所涉及到的模块可以通过软件的方式实现,也可以通过硬件的方式来实现。所描述的模块也可以设置在处理器中,例如,可以描述为:一种处理器包括获取模块、分析模块和输出模块。其中,这些模块的名称在某种情况下并不构成对该模块本身的限定。
以上描述仅为本申请的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解,本申请中所涉及的发明范围,并不限于上述技术特征的特定组合而成的技术方案,同时也应涵盖在不脱离上述发明构思的情况下,由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本申请中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。
Claims (9)
1.一种针对目标程序具有反调试机制进行自动绕过的方法,其特征在于,所述方法包括以下步骤:
S1、遍历当前计算机***中加载的所有模块,判断所述模块是否属于目标程序,响应于确定模板属于所述目标程序,记录属于所述目标程序的模块的模块信息,其中所述模块信息包括模块中可执行代码加载的基址和大小;
S2、通过调用信号处理函数,遍历所述计算机***的所有信号值以获取注册的处理信号相关函数,判断所述处理信号相关函数中的信号处理函数signal是否属于所述属于所述目标程序的模块,响应于确定信号处理函数signal属于,则注册新的通用信号处理函数以替换原始信号处理函数signal,同时保存原始信号处理函数;
S3、所述目标程序接收信号后,启动所述新的通用信号处理函数,首先保存上下文context值,再根据所述信号值获取对应的原始信号处理函数signal进行调用;
S4、所述原始信号处理函数signal返回后,判断所述上下文context值中的关键寄存器值是否相同,响应于确定所述关键寄存器值不相同,则进行动态修改和/或静态修改代码,响应于确定所述关键寄存器值相同,则不做处理。
2.根据权利要求1所述的针对目标程序具有反调试机制进行自动绕过的方法,其特征在于,所述步骤S1-S4均在动态链接库文件中执行,所述方法还包括:
创建动态链接库文件,并将所述动态链接库文件注入到所述计算机***正在运行的所述目标程序中,所述动态链接库文件加载完成,在所述动态链接库文件的构造函数中执行所述步骤S1-S4的操作。
3.根据权利要求1所述的针对目标程序具有反调试机制进行自动绕过的方法,其特征在于,所述步骤S1中的所述遍历当前计算机***中加载的所有模块,判断所述模块是否属于目标程序,具体还包括:
通过/proc/self/maps文件,遍历当前计算机***中加载的所有模块;
通过比较所述模块的所在路径,判断所述模块是否属于所述目标程序;
若所述模块属于所述目标程序,记录属于所述目标程序的模块的模块信息,其中所述模块信息包括模块中可执行代码加载的基址和大小,并以路径为key,以基址和大小为值,记录到map中;若所述模块不属于所述目标程序,则不做处理。
4.根据权利要求1所述的针对目标程序具有反调试机制进行自动绕过的方法,其特征在于,所述步骤S2中的判断所述处理信号相关函数中的信号处理函数signal是否属于所述目标程序的模块,具体还包括:
确定所述信号处理函数signal地址是否处于所述模块的基址或者所述模块基址加大小的范围内;
响应于确定处于所述模块的基址或者所述模块基址加大小的范围内,确定所述信号处理函数signal属于所述目标程序的模块。
5.根据权利要求1所述的针对目标程序具有反调试机制进行自动绕过的方法,其特征在于,所述步骤S2中的判断所述处理信号相关函数中的信号处理函数signal是否属于所述目标程序的模块,响应于确定所述信号处理函数signal属于,则注册新的通用信号处理函数以替换原始信号处理函数signal,同时保存原始信号处理函数至map中,其中,map的key为信号编号,map的值为原来信号的信号处理函数。
6.根据权利要求1所述的针对目标程序具有反调试机制进行自动绕过的方法,其特征在于,所述步骤S4中的响应于确定所述关键寄存器值不相同,则进行动态修改和/或静态修改代码,具体还包括:
根据修改前后的上下文context值中的所述关键寄存器值,计算出真实的跳转地址;
动态的修改寄存器所指向的代码,使间接跳转改为直接跳转;
记录并保存所述寄存器的数据至数据库中,供静态分析工具使用以剔除静态分析的干扰代码。
7.一种针对目标程序具有反调试机制进行自动绕过的装置,其特征在于,所述装置包括:
确定模块,用于遍历当前计算机***中加载的所有模块,判断所述模块是否属于目标程序,响应于确定模板属于所述目标程序,记录属于所述目标程序的模块的模块信息,其中所述模块信息包括模块中可执行代码加载的基址和大小;
替换模块,用于通过调用信号处理函数,遍历所述计算机***的所有信号值以获取注册的处理信号相关函数,判断所述处理信号相关函数中的信号处理函数signal是否属于所述属于所述目标程序的模块,响应于确定信号处理函数signal属于,则注册新的通用信号处理函数以替换原始信号处理函数signal,同时保存原始信号处理函数;
启动模块,用于所述目标程序接收信号后,启动所述新的通用信号处理函数,首先保存上下文context值,再根据所述信号值获取对应的原始信号处理函数signal进行调用;
修改模块,用于所述原始信号处理函数signal返回后,判断所述上下文context值中的关键寄存器值是否相同,响应于确定所述关键寄存器值不相同,则进行动态修改和/或静态修改代码,响应于确定所述关键寄存器值相同,则不做处理。
8.根据权利要求7所述的针对目标程序具有反调试机制进行自动绕过的装置,其特征在于,所述装置还包括:
创建模块,用于创建动态链接库文件,并将所述动态链接库文件注入到所述计算机***正在运行的所述目标程序中,所述确定模块、替换模块、启动模块和修改模块均存储于所述动态链接库文件中。
9.一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序在被处理器执行时实施如权利要求1-6中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111255594.7A CN113946803A (zh) | 2021-10-27 | 2021-10-27 | 针对目标程序具有反调试机制进行自动绕过的方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111255594.7A CN113946803A (zh) | 2021-10-27 | 2021-10-27 | 针对目标程序具有反调试机制进行自动绕过的方法和装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113946803A true CN113946803A (zh) | 2022-01-18 |
Family
ID=79332766
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111255594.7A Pending CN113946803A (zh) | 2021-10-27 | 2021-10-27 | 针对目标程序具有反调试机制进行自动绕过的方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113946803A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116383827A (zh) * | 2023-03-17 | 2023-07-04 | 中广核智能科技(深圳)有限责任公司 | 一种安全卸载可信功能机制方法、***和存储介质 |
| CN117873414A (zh) * | 2024-03-12 | 2024-04-12 | 麒麟软件有限公司 | 一种基于X11的linux程序指定显示器显示方法及装置 |
-
2021
- 2021-10-27 CN CN202111255594.7A patent/CN113946803A/zh active Pending
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116383827A (zh) * | 2023-03-17 | 2023-07-04 | 中广核智能科技(深圳)有限责任公司 | 一种安全卸载可信功能机制方法、***和存储介质 |
| CN117873414A (zh) * | 2024-03-12 | 2024-04-12 | 麒麟软件有限公司 | 一种基于X11的linux程序指定显示器显示方法及装置 |
| CN117873414B (zh) * | 2024-03-12 | 2024-06-07 | 麒麟软件有限公司 | 一种基于X11的linux程序指定显示器显示方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110502357B (zh) | 一种栈回溯方法、装置、介质和设备 | |
| CN113946803A (zh) | 针对目标程序具有反调试机制进行自动绕过的方法和装置 | |
| CN113961919B (zh) | 恶意软件检测方法和装置 | |
| KR101979329B1 (ko) | 바이너리의 취약점을 유발하는 입력데이터 위치 추적 방법 및 그 장치 | |
| CN114138281A (zh) | 软件工程的编译方法、装置、设备及介质 | |
| US20120054724A1 (en) | Incremental static analysis | |
| CN106484779B (zh) | 文件操作方法及装置 | |
| CN110659210A (zh) | 一种信息获取方法、装置、电子设备及存储介质 | |
| CN116795486A (zh) | 一种容器镜像文件提纯的分析方法、装置、存储介质及终端 | |
| US20230141948A1 (en) | Analysis and Testing of Embedded Code | |
| CN116700768B (zh) | 一种应用的处理方法及相关装置 | |
| CN113821486B (zh) | pod库之间依赖关系的确定方法及其装置、电子设备 | |
| CN114936368A (zh) | 一种Java内存木马检测方法、终端设备及存储介质 | |
| CN110377499B (zh) | 一种对应用程序进行测试的方法及装置 | |
| US9477448B2 (en) | Screen-oriented computing program refactoring | |
| CN113504904A (zh) | 用户定义函数实现方法、装置、计算机设备和存储介质 | |
| CN112214220B (zh) | 用于集成***的方法、装置和设备 | |
| CN106897588B (zh) | 一种标签函数的处理方法及装置 | |
| CN116414424B (zh) | 热更新方法、装置、设备及存储介质 | |
| US12050687B1 (en) | Systems and methods for malware detection in portable executable files | |
| CN112817663B (zh) | 一种应用程序的seccomp规则获取方法和装置 | |
| CN111209056B (zh) | 功能函数的加载方法、装置、可读存储介质及电子设备 | |
| CN112230935B (zh) | 一种应用内的隐私风险检测方法、装置以及设备 | |
| CN116775147B (zh) | 一种可执行文件处理方法、装置、设备及存储介质 | |
| CN117493149A (zh) | 代码安全性检测方法、装置、设备、存储介质及程序 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |