本发明专利技术公开了一种获取被感染的宿主程序的解密方法,包括分析已感染的宿主程序,确定恶意代码的解密函数的信息位置及状态参数;根据所述状态参数编写汇编代码,将宿主文件写入内存中;根据所述解密函数的位置信息以及状态参数,将写入内存中的宿主文件中的解密函数移动至代码段并进行相应配置;运行移动至代码段的解密函数,获得宿主程序代码,调整程序入口点并保存。本发明专利技术中分析人员从始至终都不需要了解病毒的解密方法,以及所需要的参数信息的含义,可以提高分析人员的分析效率,充分利用在动态分析病毒的过程中获得到的病毒的解密方法。
【技术实现步骤摘要】
一种获取被感染的宿主程序的解密方法及系统
本专利技术涉及信息安全
,尤其涉及一种获取被感染的宿主程序的解密方法及系统。
技术介绍
病毒感染宿主程序,并不是要杀死宿主,而是在用户运行宿主程序时先运行自身,完成恶性事件后,再运行宿主程序。制作病毒的解毒程序是分析被该病毒感染的宿主程序,找到宿主程序所在位置将入口点直接指向宿主程序,并清除病毒代码,即完成解毒工作。病毒感染时往往会把宿主程序进行加密,如果分析人员要获得宿主程序,必须要找到病毒的解密代码部分,充分了解病毒的解密算法,才能根据该算法写出解毒程序。
技术实现思路
为了克服现有技术方案的不足,本专利技术提供一种获取被感染的宿主程序的解密方法及系统,包括分析已感染的宿主程序,确定恶意代码的解密函数的信息位置及状态参数;根据所述状态参数编写汇编代码,将宿主文件写入内存中;根据所述解密函数的位置信息以及状态参数,将写入内存中的宿主文件中的解密函数移动至代码段并进行相应配置;运行移动至代码段的解密函数,获得宿主程序代码,调整程序入口点并保存。本专利技术中分析人员从始至终都不需要了解病毒的解密方法,以及所需要的参数信息的含义,可以提高分析人员的分析效率,充分利用在动态分析病毒的过程中获得到的病毒的解密方法。本专利技术解决其技术问题所采用的技术方案是:一种获取被感染的宿主程序的解密方法,包括如下步骤:(S101)分析已感染的宿主程序,确定恶意代码的解密函数的信息位置及状态参数;(S102)根据所述状态参数编写汇编代码,将宿主文件写入内存中;(S103)根据所述解密函数的位置信息以及状态参数,将写入内存中的宿主文件中的解密函数移动至代码段并进行相应配置;(S104)运行移动至代码段的解密函数,获得宿主程序代码,调整程序入口点并保存。作为本专利技术一种优选的技术方案,所述步骤(S103)中所态参数包括:汇编环境OD中寄存器、堆、栈所需参数以及解密明文所存储的位置。作为本专利技术一种优选的技术方案,所述步骤(S103)中进行相应配置具体为:将写入内存中的宿主文件中相应的状态参数配置到寄存器、堆、栈。另外本专利技术还设计了一种获取被感染的宿主程序的解密系统,包括:分析模块,用于分析已感染的宿主程序,确定恶意代码的解密函数的信息位置及状态参数;写入模块,用于根据所述状态参数编写汇编代码,将宿主文件写入内存中;配置模块,用于根据所述解密函数的位置信息以及状态参数,将写入内存中的宿主文件中的解密函数移动至代码段并进行相应配置;运行模块,用于运行移动至代码段的解密函数,获得宿主程序代码,调整程序入口点并保存。与现有技术相比,本专利技术的有益效果是:本专利技术设计的方法和系统,分析人不必知道恶意代码的解密方法就可以通过本方法模拟病毒解密,从而实现解密的过程。节省分析人员的时间和精力,仅仅需要分析人员找到解密程序的入口以及所需要的状态环境以及参数即可,很大提高分析人员的分析效率,充分利用在动态分析病毒的过程中获得到的病毒的解密方法。附图说明图1为本专利技术一种获取被感染的宿主程序的解密方法流程图;图2为本专利技术一种获取被感染的宿主程序的解密系统结构图。具体实施方式下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。实施例:如图1所示,本专利技术给出了一种获取被感染的宿主程序的解密方法,其具体步骤包括:S101、分析已感染的宿主程序,确定恶意代码的解密函数的信息位置及状态参数;S102、根据所述状态参数编写汇编代码,将宿主文件写入内存中;S103、根据所述解密函数的位置信息以及状态参数,将写入内存中的宿主文件中的解密函数移动至代码段并进行相应配置;S104、运行移动至代码段的解密函数,获得宿主程序代码,调整程序入口点并保存。所述状态参数包括:汇编环境OD中寄存器、堆、栈所需参数以及解密明文所存储的位置;所述进行相应配置具体为:将写入内存中的宿主文件中相应的状态参数配置到寄存器、堆、栈。如图2所示,本专利技术还给出了一种获取被感染的宿主程序的解密系统实施例包括:分析模块201,用于分析已感染的宿主程序,确定恶意代码的解密函数的信息位置及状态参数;写入模块202,用于根据所述状态参数编写汇编代码,将宿主文件写入内存中;配置模块203,用于根据所述解密函数的位置信息以及状态参数,将写入内存中的宿主文件中的解密函数移动至代码段并进行相应配置;运行模块204,用于运行移动至代码段的解密函数,获得宿主程序代码,调整程序入口点并保存。本说明书中系统的实施例采用递进的方式描述,对于方法的实施例而言,由于其基本相似于系统实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。本专利技术提出一种获取被感染的宿主程序的解密方法及系统,包括分析已感染的宿主程序,确定恶意代码的解密函数的信息位置及状态参数;根据所述状态参数编写汇编代码,将宿主文件写入内存中;根据所述解密函数的位置信息以及状态参数,将写入内存中的宿主文件中的解密函数移动至代码段并进行相应配置;运行移动至代码段的解密函数,获得宿主程序代码,调整程序入口点并保存。本专利技术中分析人员从始至终都不需要了解病毒的解密方法,以及所需要的参数信息的含义,可以提高分析人员的分析效率,充分利用在动态分析病毒的过程中获得到的病毒的解密方法。对于本领域技术人员而言,显然本专利技术不限于上述示范性实施例的细节,而且在不背离本专利技术的精神或基本特征的情况下,能够以其他的具体形式实现本专利技术。因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本专利技术的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化囊括在本专利技术内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。本文档来自技高网...
【技术保护点】
一种获取被感染的宿主程序的解密方法,其特征在于:包括如下步骤:(S101)分析已感染的宿主程序,确定恶意代码的解密函数的信息位置及状态参数;(S102)根据所述状态参数编写汇编代码,将宿主文件写入内存中;(S103)根据所述解密函数的位置信息以及状态参数,将写入内存中的宿主文件中的解密函数移动至代码段并进行相应配置;(S104)运行移动至代码段的解密函数,获得宿主程序代码,调整程序入口点并保存。
【技术特征摘要】
1.一种获取被感染的宿主程序的解密方法,其特征在于:包括如下步骤:(S101)分析已感染的宿主程序,确定恶意代码的解密函数的信息位置及状态参数;(S102)根据所述状态参数编写汇编代码,将宿主文件写入内存中;(S103)根据所述解密函数的位置信息以及状态参数,将写入内存中的宿主文件中的解密函数移动至代码段并进行相应配置;(S104)运行移动至代码段的解密函数,获得宿主程序代码,调整程序入口点并保存。2.根据权利要求1所述的一种获取被感染的宿主程序的解密方法,其特征在于:所述步骤(S103)中所态参数包括:汇编环境OD中寄存器、堆、栈所需参数以及解密明文所存储的位置。3...
【专利技术属性】
技术研发人员:李海灵,邹潇湘,王中华,王锟,何跃鹰,卓子寒,刘中金,董建武,
申请(专利权)人:国家计算机网络与信息安全管理中心,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。