【技术实现步骤摘要】
一种虚拟化加密程序逆向分析方法及相关组件
[0001]本专利技术涉及软件逆向工程
,特别涉及一种虚拟化加密程序逆向分析方法、装置、设备及存储介质。
技术介绍
[0002]目前,在各种软件保护方法中虚拟化保护是分析难度最高的一种。商业的虚拟化保护器已经十分成熟,已经全面应用在软件市场中,很多软件作者都会选择使用虚拟化保护来加密程序。但与此同时,使用虚拟化加密恶意程序的情况也屡见不鲜,恶意程序的作者更担心程序被逆向分析,他们通常都会使用分析难度极高的虚拟化加密保护恶意程序。由于框架代码都是固化不变的,所以原本分析者对于熟悉的框架可以顺藤摸瓜较快的找到目标点,而加密后的框架已经面目全非,无法再用之前的经验识别。并且,分析被虚拟化保护加密的程序是一件极其困难、极其繁琐的工作,逆向分析程序最重要的就是寻找关键目标点,而在被虚拟化程序中想要找到目标点进行分析这个过程极其曲折,因为大部分软件作者会虚拟化关键的框架代码(例如MFC框架消息分发代码),不会让人轻易找到关键函数。
[0003]现有技术中,在虚拟化辅助分析上的研究中...
【技术保护点】
【技术特征摘要】
1.一种虚拟化加密程序逆向分析方法,其特征在于,包括:获取目标程序,所述目标程序为内部框架代码被虚拟化加密保护的程序;将未加密的目标框架代码通过注入加载进所述目标程序;对所述目标框架代码与所述目标程序进行嫁接得到框架重载后的待分析目标程序,以便基于所述待分析目标程序进行逆向分析。2.根据权利要求1所述的虚拟化加密程序逆向分析方法,其特征在于,所述将未加密的目标框架代码通过注入加载进所述目标程序之前,还包括:对不同框架类型的多个程序框架进行特征提取,得到每种类型的程序框架对应的框架特征以得到框架特征集;所述框架特征包括所述程序框架的运行特征、关键字段特征和框架结构特征;利用所述框架特征集对所述目标程序进行识别以确定出所述目标程序使用的框架对应的框架类型,并根据所述框架类型生成所述目标框架代码。3.根据权利要求2所述的虚拟化加密程序逆向分析方法,其特征在于,所述根据所述框架类型生成所述目标框架代码,包括:根据所述目标程序对应的程序界面和/或动态库,确定出所述目标程序的框架包含的框架内容;根据所述框架类型和所述框架内容创建所述目标框架代码。4.根据权利要求2所述的虚拟化加密程序逆向分析方法,其特征在于,所述利用所述框架特征集对所述目标程序进行识别以确定出所述目标程序使用的框架对应的框架类型,包括:根据所述框架特征集中所有的所述框架结构特征对所述目标程序的框架进行识别,以确定出所述目标程序使用的框架类型。5.根据权利要求4所述的虚拟化加密程序逆向分析方法,其特征在于,所述利用所述框架特征集对所述目标程序进行识别以确定出所述目标程序使用的框架对应的框架类型,包括:利用调试器捕捉所述目标程序在运行过程中的运行事件,根据所述框架特征集中所有的所述运行特征对所述运行事件进行识别,以确定出所述目标程序使用的框...
【专利技术属性】
技术研发人员:白智毅,范渊,吴卓群,王欣,
申请(专利权)人:杭州安恒信息技术股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。