CN113961240B - 一种虚拟化加密程序逆向分析方法及相关组件 - Google Patents
一种虚拟化加密程序逆向分析方法及相关组件 Download PDFInfo
- Publication number
- CN113961240B CN113961240B CN202111558521.5A CN202111558521A CN113961240B CN 113961240 B CN113961240 B CN 113961240B CN 202111558521 A CN202111558521 A CN 202111558521A CN 113961240 B CN113961240 B CN 113961240B
- Authority
- CN
- China
- Prior art keywords
- frame
- program
- target
- code
- target program
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F8/00—Arrangements for software engineering
- G06F8/70—Software maintenance or management
- G06F8/74—Reverse engineering; Extracting design information from source code
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
- Stored Programmes (AREA)
Abstract
本申请公开了一种虚拟化加密程序逆向分析方法、装置、设备及存储介质。该方法包括:获取目标程序,所述目标程序为内部框架代码被虚拟化加密保护的程序;将未加密的目标框架代码通过注入加载进所述目标程序;对所述目标框架代码与所述目标程序进行嫁接得到框架重载后的待分析目标程序,以便基于所述待分析目标程序进行逆向分析。通过将未加密的目标框架代码通过注入加载进目标程序,并对目标框架代码与目标程序进行嫁接,让虚拟化加密的框架代码作废,实现通过重载框架进而使程序绕过被虚拟化的框架内容,进而将框架到想要分析的关键点的道路打通,从而实现快速找到目标点进行逆向分析的目的,能够快捷全面的分析被虚拟化加密的程序。
Description
技术领域
本发明涉及软件逆向工程技术领域,特别涉及一种虚拟化加密程序逆向分析方法、装置、设备及存储介质。
背景技术
目前,在各种软件保护方法中虚拟化保护是分析难度最高的一种。商业的虚拟化保护器已经十分成熟,已经全面应用在软件市场中,很多软件作者都会选择使用虚拟化保护来加密程序。但与此同时,使用虚拟化加密恶意程序的情况也屡见不鲜,恶意程序的作者更担心程序被逆向分析,他们通常都会使用分析难度极高的虚拟化加密保护恶意程序。由于框架代码都是固化不变的,所以原本分析者对于熟悉的框架可以顺藤摸瓜较快的找到目标点,而加密后的框架已经面目全非,无法再用之前的经验识别。并且,分析被虚拟化保护加密的程序是一件极其困难、极其繁琐的工作,逆向分析程序最重要的就是寻找关键目标点,而在被虚拟化程序中想要找到目标点进行分析这个过程极其曲折,因为大部分软件作者会虚拟化关键的框架代码(例如MFC框架消息分发代码),不会让人轻易找到关键函数。
现有技术中,在虚拟化辅助分析上的研究中,出现较多的方法是小段框架代码对比绕过法,因为框架代码都是固化的,所以对比加密的框架代码与未加密框架代码的位置关系,即可得出加密代码之前是哪段框架代码。虚拟化加密保护的加密单位是按一个个函数为单位,加密者通常会加密框架代码的核心部分,但是框架代码一般很庞大,因此有些加密者只会加密那么几个框架函数,所以在加密的不广泛和深入的情况下,可以使用该方法。但是对于虚拟化加密较广较深的框架代码,该方法效果较差,对于从头到尾的虚拟化加密框架代码,更无法实现逆向分析。
发明内容
有鉴于此,本发明的目的在于提供一种虚拟化加密程序逆向分析方法、装置、设备及介质,能够快捷全面的分析被虚拟化加密的程序。其具体方案如下:
第一方面,本申请公开了一种虚拟化加密程序逆向分析方法,包括:
获取目标程序,所述目标程序为内部框架代码被虚拟化加密保护的程序;
将未加密的目标框架代码通过注入加载进所述目标程序;
对所述目标框架代码与所述目标程序进行嫁接得到框架重载后的待分析目标程序,以便基于所述待分析目标程序进行逆向分析。
可选的,所述将未加密的目标框架代码通过注入加载进所述目标程序之前,还包括:
对不同框架类型的多个程序框架进行特征提取,得到每种类型的程序框架对应的框架特征以得到框架特征集;所述框架特征包括所述程序框架的运行特征、关键字段特征和框架结构特征;
利用所述框架特征集对所述目标程序进行识别以确定出所述目标程序使用的框架对应的框架类型,并根据所述框架类型生成所述目标框架代码。
可选的,所述根据所述框架类型生成所述目标框架代码,包括:
根据所述目标程序对应的程序界面和/或动态库,确定出所述目标程序的框架包含的框架内容;
根据所述框架类型和所述框架内容创建所述目标框架代码。
可选的,所述利用所述框架特征集对所述目标程序进行识别以确定出所述目标程序使用的框架对应的框架类型,包括:
根据所述框架特征集中所有的所述框架结构特征对所述目标程序的框架进行识别,以确定出所述目标程序使用的框架类型。
可选的,所述利用所述框架特征集对所述目标程序进行识别以确定出所述目标程序使用的框架对应的框架类型,包括:
利用调试器捕捉所述目标程序在运行过程中的运行事件,根据所述框架特征集中所有的所述运行特征对所述运行事件进行识别,以确定出所述目标程序使用的框架类型;
和/或,根据所述框架特征集中所有的所述关键字段特征对所述目标程序关联的字符串进行识别,以确定出所述目标程序使用的框架类型。
可选的,所述将未加密的目标框架代码通过注入加载进所述目标程序,包括:
按照预设封装形式对所述未加密的目标框架代码进行封装,得到封装后目标框架代码;所述预设封装方式包括动态链接库形式、shellcode形式和内存数据形式中的任意一种;
将所述封装后目标框架代码通过注入加载进所述目标程序。
可选的,所述对所述目标框架代码与所述目标程序进行嫁接得到框架重载后的待分析目标程序,包括:
根据虚拟化加密特征,确定出所述目标程序内被虚拟化加密的框架代码的起始地址;
将所述起始地址修改为所述目标框架代码对应的目标起始地址,以实现所述目标框架代码与所述目标程序的嫁接,得到框架重载后的待分析目标程序。
第二方面,本申请公开了一种虚拟化加密程序逆向分析装置,包括:
目标程序获取模块,用于获取目标程序,所述目标程序为内部主体框架代码被虚拟化加密保护的程序;
目标框架代码注入模块,用于将未加密的目标框架代码通过注入加载进所述目标程序;
程序嫁接模块,用于对所述目标框架代码与所述目标程序进行嫁接得到框架重载后的待分析目标程序,以便基于所述待分析目标程序进行逆向分析。
第三方面,本申请公开了一种电子设备,包括:
存储器,用于保存计算机程序;
处理器,用于执行所述计算机程序,以实现前述的虚拟化加密程序逆向分析方法。
第四方面,本申请公开了一种计算机可读存储介质,用于存储计算机程序;其中计算机程序被处理器执行时实现前述的虚拟化加密程序逆向分析方法。
本申请中,获取目标程序,所述目标程序为内部框架代码被虚拟化加密保护的程序;将未加密的目标框架代码通过注入加载进所述目标程序;对所述目标框架代码与所述目标程序进行嫁接得到框架重载后的待分析目标程序,以便基于所述待分析目标程序进行逆向分析。由上可见,通过将未加密的目标框架代码通过注入加载进目标程序,并对目标框架代码与目标程序进行嫁接,让虚拟化加密的框架代码作废,实现通过重载框架进而使程序绕过被虚拟化的框架内容,进而将框架到想要分析的关键点的道路打通,从而实现快速找到目标点进行逆向分析的目的,能够快捷全面的分析被虚拟化加密的程序。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请提供的一种虚拟化加密程序逆向分析方法流程图;
图2为本申请提供的一种具体的虚拟化加密后的程序结构图;
图3为本申请提供的一种具体的重载框架恢复被虚拟化内容的原理图;
图4为本申请提供的一种具体的程序嫁接原理图;
图5为本申请提供的一种虚拟化加密程序逆向分析装置结构示意图;
图6为本申请提供的一种电子设备结构图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
现有技术中,通过对比加密的框架代码与未加密框架代码的位置关系,确定出出加密代码之前是哪段框架代码,但是对于虚拟化加密较广较深的框架代码,该方法效果较差,对于从头到尾的虚拟化加密框架代码,更无法实现逆向分析。为克服上述技术问题,本申请提出一种虚拟化加密程序逆向分析方法,能够快捷全面的分析被虚拟化加密的程序。
本申请实施例公开了一种虚拟化加密程序逆向分析方法,参见图1所示,该方法可以包括以下步骤:
步骤S11:获取目标程序,所述目标程序为内部框架代码被虚拟化加密保护的程序。
本实施例中,首先获取想要逆向分析的目标程序,目标程序的内部框架代码被虚拟化加密保护,此时目标程序内被虚拟化加密保护的框架代码可以是程序的主体框架,也可以是个别框架函数,具体不做限定。其中虚拟化加密保护又称虚拟机保护技术,是指将代码翻译为机器和人都无法识别的一串伪代码字节流;在具体执行时再对这些伪代码进行一一翻译解释,逐步还原为原始代码并执行;这段用于翻译伪代码并负责具体执行的子程序就叫作虚拟机VM(好似一个抽象的CPU);它通常以一个函数的形式存在,函数的参数就是字节码的内存地址。 将虚拟机保护加密应用到商业中的保护有VMProtect,Themida等。
步骤S12:将未加密的目标框架代码通过注入加载进所述目标程序。
本实施例中,获取到想要逆向分析的目标程序后,将未加密的目标框架代码通过注入加载进上述目标程序内,可以理解的是,上述目标框架代码即为与上述目标程序匹配的未加密的框架代码。
本实施例中,所述将未加密的目标框架代码通过注入加载进所述目标程序,可以包括:按照预设封装形式对所述未加密的目标框架代码进行封装,得到封装后目标框架代码;所述预设封装方式包括动态链接库形式、shellcode形式和内存数据形式中的任意一种;将所述封装后目标框架代码通过注入加载进所述目标程序。即确定出目标框架代码后,为将目标框架代码注入目标程序,先需要一个易用的形式对目标框架代码进行封装,具体预设封装方式可以为动态链接库(Dynamic Link Library,DLL)形式、shellcode形式或单纯的内存数据形式,优先的,可以选择DLL的形式封装,DLL方式易于封装,易于注入。其中,注入方式可以包括但不限于远程线程注入、EIP寄存器注入、APC注入、劫持等。以按照DLL封装形式进行封装并按照远程线程注入的注入方式为例,注入过程包括以下步骤:
(1)调试器运行原程序,即上述目标程序,使用OpenProcess函数获取原程序进程句柄(这里称为H句柄);
(2)使用VirtualAllocEx函数在原程序进程中申请一块内存这里(这里称为M内存),大小1页(4096字节);
(3)使用VirtualProtectEx函数把M内存设置为可读可写可执行;
(4)使用WriteProcessMemory将DLL路径字符串写入到M内存中;
(5)使用GetProcAddress获取kernel32.dll中的LoadLibary函数地址(这里称为LD函数地址);
(6)将H句柄、LD函数地址和M内存地址做参数,使用CreateRemoteThread创建远程线程。由此封装的DLL就成功注入到原程序进程了。
本实施例中,所述将未加密的目标框架代码通过注入加载进所述目标程序之前,还可以包括:对不同框架类型的多个程序框架进行特征提取,得到每种类型的程序框架对应的框架特征以得到框架特征集;所述框架特征包括所述程序框架的运行特征、关键字段特征和框架结构特征;利用所述框架特征集对所述目标程序进行识别以确定出所述目标程序使用的框架对应的框架类型,并根据所述框架类型生成所述目标框架代码。可以理解的是,要想实现重载程序框架,首先需要确定目标程序使用什么类型的框架开发的。虽然目标程序被虚拟化加密了框架主体内容,但因为开发框架都是巨大的平台,所以特征十分多,利用各个框架独有的特征识别,可以准确明辨目标程序的框架。其中,上述框架特征可以包括程序框架的运行特征、关键字段特征和框架结构特征中的任意一种或多种。确定出框架类型后,基于该框架类型对应的标准程序框架生成上述目标框架代码。
本实施例中,所述利用所述框架特征集对所述目标程序进行识别以确定出所述目标程序使用的框架对应的框架类型,可以包括:根据所述框架特征集中所有的所述框架结构特征对所述目标程序的框架进行识别,以确定出所述目标程序使用的框架类型。可以理解的是,每种框架都存在自己框架独有的结构,以这些独有的结构为模板,在程序内存中搜索这些结构,观察特征即可辨别该程序的框架;例如,MFC(Microsoft FoundationClasses,微软基础类)框架中存在MsgMap相关结构,Qt框架中存在信号槽相关结构。
本实施例中,所述利用所述框架特征集对所述目标程序进行识别以确定出所述目标程序使用的框架对应的框架类型,可以包括:利用调试器捕捉所述目标程序在运行过程中的运行事件,根据所述框架特征集中所有的所述运行特征对所述运行事件进行识别,以确定出所述目标程序使用的框架类型;和/或,根据所述框架特征集中所有的所述关键字段特征对所述目标程序关联的字符串进行识别,以确定出所述目标程序使用的框架类型。可以理解的是,无论虚拟化多么强大,它只会强加密代码不会强加密数据,在运行时数据必须解密,所以将程序用调试器运行起来,根据程序在运行的时候释放出的信息,可以判断程序的框架类型。例如MFC的程序运行起来必然使用到MFC的DLL,因此可以通过这些特殊的运行事件判断程序框架的类型。另外,静态编译的MFC程序中存在大量特征鲜明的字符串信息如“Dlg”;易语言程序中存在大量与该程序功能无关的汉字字符串,也存在大量易语言独有的字符串“invalidxxxxx”。因此,同时也可以用通过目标程序包含的字符串或运行时关联的字符串进行框架类型的识别。
本实施例中,所述根据所述框架类型生成所述目标框架代码,可以包括:根据所述目标程序对应的程序界面和/或动态库,确定出所述目标程序的框架包含的框架内容;根据所述框架类型和所述框架内容创建所述目标框架代码。可以理解的是,封装框架代码的最低要求是不能缺少框架的某部分功能,否则重载框架后会因为框架内容的缺失使原程序出错,因此为了避免使用框架全部的内容进行注入从而导致资源浪费的问题,也为了避免因缺少部分框架功能导致无法实现框架重载,本实施例中,通过观察目标程序使用了框架的什么内容,具体框架内容的确定可以结合目标程序界面和其使用的动态库进行判断,在确定出框架内容后,根据确定出的框架类型和框架内容创建得到目标框架代码。即观察目标程序使用了框架的什么内容,例如使用的是多文档还是单文档,是否使用了对话框等。通常原则是DLL中的框架内容宁多勿少。以框架类型为MFC为例,目标框架代码的创建过程包括:
(1)使用VS新建一个MFC DLL项目;
(2)如果目标程序使用了单文档,则打开另一个VS新建MFC单文档工程,将此工程的源文件和资源拷贝到DLL项目中,由此DLL项目即可拥有MFC单文档的框架;
(3)如果目标程序使用了对话框,则直接在DLL项目中新建一个对话框即可;其他情况不一一举例,原理类似;
(4)目标程序是静态编译的,则静态编译MFC DLL,如果目标程序是动态编译,则动态编译DLL。其中,目标程序的静态编译和动态编译可以通过观察目标程序是否使用了MFC的DLL库,若使用了即可判定动态编译,若没有使用即可判定为静态编译。至此完成目标框架代码的创建。
步骤S13:对所述目标框架代码与所述目标程序进行嫁接得到框架重载后的待分析目标程序,以便基于所述待分析目标程序进行逆向分析。
本实施例中,将上述目标框架代码加载进目标程序后,将目标框架代码与目标程序进行嫁接,得到框架重载后的待分析目标程序,以便基于该待分析目标程序进行逆向分析。例如图2所示为虚拟化加密后的程序结构图,图3所示为重载框架恢复被虚拟化内容的原理图,可以理解的是,逆向分析是个反复分析调试的过程,无法一蹴而就,本实施例提供一种通用的方法及思路。虽然不同框架间的差别很大,但是这和虚拟化加密无关,也和框架重载的工作无关,因为无论什么框架,各个框架本身的代码都是固化的,重载框架的思路是相同的。本实施例的目的就是将未加密的框架代码加载进被加密的程序的进程中,并且使程序与原被加密框架代码脱离联系,将加载的未加密框架代码嫁接到原程序,这样自然而然的就恢复了被加密的框架,绕过了虚拟化加密。并且,本实施例适用性广,兼容Qt、MFC、Delphi、易语言等常见的开发框架,兼容大部分被虚拟化的程序,同时也能方便的编写成调试器插件,实现自动化框架重载,降低了分析虚拟化程序的难度。
本实施例中,所述对所述目标框架代码与所述目标程序进行嫁接得到框架重载后的待分析目标程序,可以包括:根据虚拟化加密特征,确定出所述目标程序内被虚拟化加密的框架代码的起始地址;将所述起始地址修改为所述目标框架代码对应的目标起始地址,以实现所述目标框架代码与所述目标程序的嫁接,得到框架重载后的待分析目标程序。
例如图3所示的一种具体的程序嫁接原理图,在调试器下运行原程序注入DLL后进行嫁接,首先,找到目标程序开始被虚拟化的入口,且该入口必定是个函数,因为虚拟化保护以函数为单位,虚拟化函数的入口一般是pushdword,call xxxx或者单纯一个JMP xxxx,因此可以通过这类虚拟化加密特征识别虚拟化函数。进入这个call后可以看到虚拟化的反汇编代码十分显眼,完全没有肉眼可见的逻辑与未加密代码有巨大反差;进一步,回到入口代码,汇编代码一般会以CALL的形式进入框架代码,这里直接修改为[call DLL框架起始地址] ;然后,只需要把程序入口代码嫁接到未虚拟化的框架代码,不需要再手动嫁接程序出口代码,因为call的原因,未虚拟化框架代码结束后会自动返回到程序出口,由此完成框架重载。此时框架中一切消息循环、窗口响应过程均由我们重载的未虚拟化框架DLL接管,无论是按钮消息还是鼠标键盘消息都由此经过,在使用程序功能时,会自然而然的调用到作者编写的功能。所以分析人员无须理会被加密的框架代码,可以轻松进行定位分析。
由上可见,本实施例中获取目标程序,所述目标程序为内部框架代码被虚拟化加密保护的程序;将未加密的目标框架代码通过注入加载进所述目标程序;对所述目标框架代码与所述目标程序进行嫁接得到框架重载后的待分析目标程序,以便基于所述待分析目标程序进行逆向分析。由上可见,通过将未加密的目标框架代码通过注入加载进目标程序,并对目标框架代码与目标程序进行嫁接,让虚拟化加密的框架代码作废,实现通过重载框架进而使程序绕过被虚拟化的框架内容,进而将框架到想要分析的关键点的道路打通,从而实现快速找到目标点进行逆向分析的目的,能够快捷全面的分析被虚拟化加密的程序,为逆向分析技术添砖加瓦。
相应的,本申请实施例还公开了一种虚拟化加密程序逆向分析装置,参见图5所示,该装置包括:
目标程序获取模块11,用于获取目标程序,所述目标程序为内部主体框架代码被虚拟化加密保护的程序;
目标框架代码注入模块12,用于将未加密的目标框架代码通过注入加载进所述目标程序;
程序嫁接模块13,用于对所述目标框架代码与所述目标程序进行嫁接得到框架重载后的待分析目标程序,以便基于所述待分析目标程序进行逆向分析。
本实施例中,获取目标程序,所述目标程序为内部框架代码被虚拟化加密保护的程序;将未加密的目标框架代码通过注入加载进所述目标程序;对所述目标框架代码与所述目标程序进行嫁接得到框架重载后的待分析目标程序,以便基于所述待分析目标程序进行逆向分析。由上可见,通过将未加密的目标框架代码通过注入加载进目标程序,并对目标框架代码与目标程序进行嫁接,让虚拟化加密的框架代码作废,实现通过重载框架进而使程序绕过被虚拟化的框架内容,进而将框架到想要分析的关键点的道路打通,从而实现快速找到目标点进行逆向分析的目的,能够快捷全面的分析被虚拟化加密的程序。
在一些具体实施例中,所述虚拟化加密程序逆向分析装置具体可以包括:
框架特征集生成单元,用于对不同框架类型的多个程序框架进行特征提取,得到每种类型的程序框架对应的框架特征以得到框架特征集;所述框架特征包括所述程序框架的运行特征、关键字段特征和框架结构特征;
框架类型确定单元,用于利用所述框架特征集对所述目标程序进行识别以确定出所述目标程序使用的框架对应的框架类型,并根据所述框架类型生成所述目标框架代码。
在一些具体实施例中,所述框架类型确定单元具体可以包括:
框架内容确定单元,用于根据所述目标程序对应的程序界面和/或动态库,确定出所述目标程序的框架包含的框架内容;
目标框架代码创建单元,用于根据所述框架类型和所述框架内容创建所述目标框架代码。
在一些具体实施例中,所述框架类型确定单元具体可以包括:
第一框架类型确定单元,用于根据所述框架特征集中所有的所述框架结构特征对所述目标程序的框架进行识别,以确定出所述目标程序使用的框架类型。
在一些具体实施例中,所述框架类型确定单元具体可以包括:
第二框架类型确定单元,用于利用调试器捕捉所述目标程序在运行过程中的运行事件,根据所述框架特征集中所有的所述运行特征对所述运行事件进行识别,以确定出所述目标程序使用的框架类型;
第三框架类型确定单元,用于,根据所述框架特征集中所有的所述关键字段特征对所述目标程序关联的字符串进行识别,以确定出所述目标程序使用的框架类型。
在一些具体实施例中,所述目标框架代码注入模块12具体可以包括:
封装单元,用于按照预设封装形式对所述未加密的目标框架代码进行封装,得到封装后目标框架代码;所述预设封装方式包括动态链接库形式、shellcode形式和内存数据形式中的任意一种;
代码注入单元,用于将所述封装后目标框架代码通过注入加载进所述目标程序。
在一些具体实施例中,所述程序嫁接模块13具体可以包括:
起始地址确定单元,用于根据虚拟化加密特征,确定出所述目标程序内被虚拟化加密的框架代码的起始地址;
程序嫁接单元,用于将所述起始地址修改为所述目标框架代码对应的目标起始地址,以实现所述目标框架代码与所述目标程序的嫁接,得到框架重载后的待分析目标程序。
进一步的,本申请实施例还公开了一种电子设备,参见图6所示,图中的内容不能被认为是对本申请的使用范围的任何限制。
图6为本申请实施例提供的一种电子设备20的结构示意图。该电子设备20,具体可以包括:至少一个处理器21、至少一个存储器22、电源23、通信接口24、输入输出接口25和通信总线26。其中,所述存储器22用于存储计算机程序,所述计算机程序由所述处理器21加载并执行,以实现前述任一实施例公开的虚拟化加密程序逆向分析方法中的相关步骤。
本实施例中,电源23用于为电子设备20上的各硬件设备提供工作电压;通信接口24能够为电子设备20创建与外界设备之间的数据传输通道,其所遵循的通信协议是能够适用于本申请技术方案的任意通信协议,在此不对其进行具体限定;输入输出接口25,用于获取外界输入数据或向外界输出数据,其具体的接口类型可以根据具体应用需要进行选取,在此不进行具体限定。
另外,存储器22作为资源存储的载体,可以是只读存储器、随机存储器、磁盘或者光盘等,其上所存储的资源包括操作***221、计算机程序222及包括目标框架代码在内的数据223等,存储方式可以是短暂存储或者永久存储。
其中,操作***221用于管理与控制电子设备20上的各硬件设备以及计算机程序222,以实现处理器21对存储器22中海量数据223的运算与处理,其可以是Windows Server、Netware、Unix、Linux等。计算机程序222除了包括能够用于完成前述任一实施例公开的由电子设备20执行的虚拟化加密程序逆向分析方法的计算机程序之外,还可以进一步包括能够用于完成其他特定工作的计算机程序。
进一步的,本申请实施例还公开了一种计算机存储介质,所述计算机存储介质中存储有计算机可执行指令,所述计算机可执行指令被处理器加载并执行时,实现前述任一实施例公开的虚拟化加密程序逆向分析方法步骤。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上对本发明所提供的一种虚拟化加密程序逆向分析方法、装置、设备及介质进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (8)
1.一种虚拟化加密程序逆向分析方法,其特征在于,包括:
获取目标程序,所述目标程序为内部框架代码被虚拟化加密保护的程序;
将未加密的目标框架代码通过注入加载进所述目标程序;
对所述目标框架代码与所述目标程序进行嫁接得到框架重载后的待分析目标程序,以便基于所述待分析目标程序进行逆向分析;
其中,所述将未加密的目标框架代码通过注入加载进所述目标程序之前,还包括:
对不同框架类型的多个程序框架进行特征提取,得到每种类型的程序框架对应的框架特征以得到框架特征集;所述框架特征包括所述程序框架的运行特征、关键字段特征和框架结构特征;
利用所述框架特征集对所述目标程序进行识别以确定出所述目标程序使用的框架对应的框架类型,并根据所述框架类型生成所述目标框架代码;
其中,所述对所述目标框架代码与所述目标程序进行嫁接得到框架重载后的待分析目标程序,包括:
根据虚拟化加密特征,确定出所述目标程序内被虚拟化加密的框架代码的起始地址;
将所述起始地址修改为所述目标框架代码对应的目标起始地址,以实现所述目标框架代码与所述目标程序的嫁接,得到框架重载后的待分析目标程序。
2.根据权利要求1所述的虚拟化加密程序逆向分析方法,其特征在于,所述根据所述框架类型生成所述目标框架代码,包括:
根据所述目标程序对应的程序界面和/或动态库,确定出所述目标程序的框架包含的框架内容;
根据所述框架类型和所述框架内容创建所述目标框架代码。
3.根据权利要求1所述的虚拟化加密程序逆向分析方法,其特征在于,所述利用所述框架特征集对所述目标程序进行识别以确定出所述目标程序使用的框架对应的框架类型,包括:
根据所述框架特征集中所有的所述框架结构特征对所述目标程序的框架进行识别,以确定出所述目标程序使用的框架类型。
4.根据权利要求3所述的虚拟化加密程序逆向分析方法,其特征在于,所述利用所述框架特征集对所述目标程序进行识别以确定出所述目标程序使用的框架对应的框架类型,包括:
利用调试器捕捉所述目标程序在运行过程中的运行事件,根据所述框架特征集中所有的所述运行特征对所述运行事件进行识别,以确定出所述目标程序使用的框架类型;
和/或,根据所述框架特征集中所有的所述关键字段特征对所述目标程序关联的字符串进行识别,以确定出所述目标程序使用的框架类型。
5.根据权利要求1所述的虚拟化加密程序逆向分析方法,其特征在于,所述将未加密的目标框架代码通过注入加载进所述目标程序,包括:
按照预设封装形式对所述未加密的目标框架代码进行封装,得到封装后目标框架代码;所述预设封装形式包括动态链接库形式、shellcode形式和内存数据形式中的任意一种;
将所述封装后目标框架代码通过注入加载进所述目标程序。
6.一种虚拟化加密程序逆向分析装置,其特征在于,包括:
目标程序获取模块,用于获取目标程序,所述目标程序为内部主体框架代码被虚拟化加密保护的程序;
目标框架代码注入模块,用于将未加密的目标框架代码通过注入加载进所述目标程序;
程序嫁接模块,用于对所述目标框架代码与所述目标程序进行嫁接得到框架重载后的待分析目标程序,以便基于所述待分析目标程序进行逆向分析;
其中,所述虚拟化加密程序逆向分析装置还用于对不同框架类型的多个程序框架进行特征提取,得到每种类型的程序框架对应的框架特征以得到框架特征集;所述框架特征包括所述程序框架的运行特征、关键字段特征和框架结构特征;利用所述框架特征集对所述目标程序进行识别以确定出所述目标程序使用的框架对应的框架类型,并根据所述框架类型生成所述目标框架代码;
其中,所述程序嫁接模块还用于根据虚拟化加密特征,确定出所述目标程序内被虚拟化加密的框架代码的起始地址;将所述起始地址修改为所述目标框架代码对应的目标起始地址,以实现所述目标框架代码与所述目标程序的嫁接,得到框架重载后的待分析目标程序。
7.一种电子设备,其特征在于,包括:
存储器,用于保存计算机程序;
处理器,用于执行所述计算机程序,以实现如权利要求1至5任一项所述的虚拟化加密程序逆向分析方法。
8.一种计算机可读存储介质,其特征在于,用于存储计算机程序;其中计算机程序被处理器执行时实现如权利要求1至5任一项所述的虚拟化加密程序逆向分析方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111558521.5A CN113961240B (zh) | 2021-12-20 | 2021-12-20 | 一种虚拟化加密程序逆向分析方法及相关组件 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111558521.5A CN113961240B (zh) | 2021-12-20 | 2021-12-20 | 一种虚拟化加密程序逆向分析方法及相关组件 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113961240A CN113961240A (zh) | 2022-01-21 |
| CN113961240B true CN113961240B (zh) | 2022-04-08 |
Family
ID=79473280
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111558521.5A Active CN113961240B (zh) | 2021-12-20 | 2021-12-20 | 一种虚拟化加密程序逆向分析方法及相关组件 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113961240B (zh) |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8112636B1 (en) * | 2007-11-06 | 2012-02-07 | Lockheed Martin Corporation | Protection of code or data from exposure by use of code injection service |
| CN103838573A (zh) * | 2014-01-03 | 2014-06-04 | 浙江宇天科技股份有限公司 | 应用程序生成方法及装置 |
| CN106681923A (zh) * | 2016-12-29 | 2017-05-17 | 广州华多网络科技有限公司 | 一种软件测评方法及装置 |
| CN107577925A (zh) * | 2017-08-11 | 2018-01-12 | 西北大学 | 基于双重ARM指令虚拟的Android应用程序保护方法 |
| CN110929234A (zh) * | 2019-11-28 | 2020-03-27 | 施羊梦燊 | 一种基于代码虚拟化的Python程序加密保护***与方法 |
| CN113703859A (zh) * | 2020-05-08 | 2021-11-26 | 腾讯科技(深圳)有限公司 | 一种动态链接库注入方法、装置、设备及存储介质 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7284274B1 (en) * | 2001-01-18 | 2007-10-16 | Cigital, Inc. | System and method for identifying and eliminating vulnerabilities in computer software applications |
| US9992352B2 (en) * | 2014-11-01 | 2018-06-05 | Somos, Inc. | Toll-free telecommunications and data management platform |
| CN112214736A (zh) * | 2020-11-02 | 2021-01-12 | 杭州安恒信息技术股份有限公司 | 一种代码加密方法及相关组件 |
| CN113568680B (zh) * | 2021-07-23 | 2023-08-11 | 杭州网易智企科技有限公司 | 应用程序的动态链接库保护方法、装置、设备及介质 |
-
2021
- 2021-12-20 CN CN202111558521.5A patent/CN113961240B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8112636B1 (en) * | 2007-11-06 | 2012-02-07 | Lockheed Martin Corporation | Protection of code or data from exposure by use of code injection service |
| CN103838573A (zh) * | 2014-01-03 | 2014-06-04 | 浙江宇天科技股份有限公司 | 应用程序生成方法及装置 |
| CN106681923A (zh) * | 2016-12-29 | 2017-05-17 | 广州华多网络科技有限公司 | 一种软件测评方法及装置 |
| CN107577925A (zh) * | 2017-08-11 | 2018-01-12 | 西北大学 | 基于双重ARM指令虚拟的Android应用程序保护方法 |
| CN110929234A (zh) * | 2019-11-28 | 2020-03-27 | 施羊梦燊 | 一种基于代码虚拟化的Python程序加密保护***与方法 |
| CN113703859A (zh) * | 2020-05-08 | 2021-11-26 | 腾讯科技(深圳)有限公司 | 一种动态链接库注入方法、装置、设备及存储介质 |
Non-Patent Citations (3)
| Title |
|---|
| SEVurity: No Security Without Integrity : Breaking Integrity-Free Memory Encryption with Minimal Assumptions;Luca Wilke等;《2020 IEEE Symposium on Security and Privacy (SP)》;20200730;第1483-1496页 * |
| 基于安卓的智能蓝牙锁APP安全性研究;王思泰;《中国优秀硕士学位论文全文数据库(电子期刊)》;20190115(第1期);第I138-1735页 * |
| 恶意代码脱壳及同源判定技术研究;蒋永康;《中国优秀硕士学位论文全文数据库(电子期刊)》;20200615(第6期);第I138-87页 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113961240A (zh) | 2022-01-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108932406B (zh) | 虚拟化软件保护方法和装置 | |
| KR101920597B1 (ko) | 동적 코드 추출 기반 자동 분석 방지 우회 및 코드 로직 해석 장치 | |
| KR101328012B1 (ko) | 애플리케이션 코드 난독화 장치 및 그 방법 | |
| CN108491235B (zh) | 结合动态加载和函数Native化的DEX保护方法 | |
| US10372444B2 (en) | Android dynamic loading file extraction method, recording medium and system for performing the method | |
| US20170177311A1 (en) | Service extraction and application composition | |
| US20160239671A1 (en) | Method and device for protecting an application and method and device for executing a protected application thus protected | |
| US11765165B2 (en) | Web-browser extension analysis and enhancement | |
| WO2016054880A1 (zh) | 扩展apk文件应用的方法及装置 | |
| KR101861341B1 (ko) | 애플리케이션 코드의 역난독화 장치 및 이를 이용한 애플리케이션 코드의 역난독화 방법 | |
| CN107273723B (zh) | 一种基于so文件加壳的Android平台应用软件保护方法 | |
| US10482221B2 (en) | Protecting a computer program against reverse engineering | |
| CN107291485B (zh) | 动态链接库的加固方法、运行方法、加固装置和安全*** | |
| KR101926142B1 (ko) | 프로그램 분석 장치 및 방법 | |
| CN111737718A (zh) | 一种jar包的加解密方法、装置、终端设备和存储介质 | |
| CN108763924B (zh) | 一种安卓应用程序中不可信第三方库访问权限控制方法 | |
| Ntousakis et al. | Detecting third-party library problems with combined program analysis | |
| KR101557455B1 (ko) | 응용 프로그램 코드 분석 장치 및 그것을 이용한 코드 분석 방법 | |
| CN113961240B (zh) | 一种虚拟化加密程序逆向分析方法及相关组件 | |
| Al-Sharif et al. | The Effects of Platforms and Languages on the Memory Footprint of the Executable Program: A Memory Forensic Approach. | |
| CN108229147B (zh) | 一种基于Android虚拟容器的内存检测装置及方法 | |
| CN112052461A (zh) | 一种基于指令注入的代码处理方法、终端及存储介质 | |
| Sun et al. | Selwasm: A code protection mechanism for webassembly | |
| Lanet et al. | Memory forensics of a java card dump | |
| Al-Sharif et al. | Towards the memory forensics of oop execution behavior |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |