CN102184103A - 软件保护壳的壳特征提取方法 - Google Patents
软件保护壳的壳特征提取方法 Download PDFInfo
- Publication number
- CN102184103A CN102184103A CN2011101216955A CN201110121695A CN102184103A CN 102184103 A CN102184103 A CN 102184103A CN 2011101216955 A CN2011101216955 A CN 2011101216955A CN 201110121695 A CN201110121695 A CN 201110121695A CN 102184103 A CN102184103 A CN 102184103A
- Authority
- CN
- China
- Prior art keywords
- shell
- parameter
- software
- entrance
- protection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Abstract
该发明属于网络安全技术领域中针对恶意软件软件保护壳的壳特征提取方法;包括对有壳保护的软件初始化处理,断点位置参数的提取,原始入口点参数的预提取,输入表数据的获得及原始入口点参数的验证,壳特征输出。该发明首先提取用于获取输入表的断点位置参数,再针对原始入口点参数进行预提取、进而获得原始入口点参数,最后将所得壳名称、壳版本及其原始入口点参数和断点位置参数一并作为相应软件壳的特征输出。该发明可有效地对各类恶意软件保护壳的壳特征进行提取,为此后对恶意软件保护壳进行自动脱壳处理,清除恶意软件的保护屏障,为计算机的正常运行、社会正常的经济活动、通讯,甚至国家的安全保障提供有效的基础条件等特点。
Description
技术领域
本发明属于网络安全技术领域,特别是一种针对软件保护壳的壳特征提取方法。采用本发明方法可针对设有保护壳的恶意软件的壳特征参数进行壳的提取,所提取出的特征参数可用于对恶意软件进行脱壳处理、以还原恶意软件在壳保护之前的可执行状态。
背景技术
壳是一种对计算机软件进行保护的常用手段。十几年来,各式各样的软件保护壳(程序)的出现对计算机正常软件的保护起到重要作用;但软件保护壳是一把双刃剑,既可用于保护正常软件、也可用于保护恶意软件。恶意软件通过保护壳把恶意程序(代码)伪装成正常程序,当用户运行此类程序时、在不知不觉中就执行了恶意程序,这些恶意程序的行为通常是窃取数据、破坏数据、发送垃圾邮件、运行其他恶意代码指定的程序等等,轻则干扰正常程序的运行、重则造成恶性事故。利用各种保护壳,恶意程序还可以躲过传统的特征杀毒,并且给恶意程序的分析和检测带来了诸多困难。要分析恶意程序的特点、进而编制检测方法,首先就必须对其进行脱壳处理;而要进行脱壳处理,其首要前提是找准所采用保护壳的特征。因此,对壳特征的提取具有重要意义。由于软件壳技术的理论研究尚不完善,因此还没有专门的壳特征分析工具,这就为恶意程序在各类保护壳的掩护下运行提供了条件,从而给计算机的正常运行、给社会正常的经济活动、通讯,甚至国家的安全造成严重威胁。
发明内容
本发明的目的是针对各类可用于对恶意软件进行保护的软件壳,研究设计一种软件保护壳的壳特征提取方法,以通过对加壳保护的恶意软件的壳特征进行多层次综合处理,达到有效地提取各类保护壳的壳特征,为此后利用所获取的壳特征对恶意软件的保护壳进行自动脱壳处理,还原被保护软件在保护前的可执行状况,为后续对恶意软件的分析处理清除其保护屏障等目的。
本发明的解决方案是根据带壳保护的软件、其保护壳需要比被保护的软件更早获得运行的控制权;而为了达到这一目的,在对软件进行加壳时、壳首先要修改原(被保护)软件执行的顺序,但又不能影响原软件的运行。为此,在进行加壳处理时就必须取得并修改原(被保护)软件的相关参数,包括被保护软件的原始入口点和输入表(或称导入表,以下一致性称输入表),在壳运行时对其进行还原。
而软件壳的最基本、也是最重要的功能就是对软件输入表的处理。软件输入表的作用是让操作系统在程序运行时提供API(应用程序接口)的实际地址给程序使用;在加壳处理时修改原程序文件的输入表以及软件的原始入口点(OEP);在运行时先运行壳,把原来的(被保护)软件在内存中还原,再跳转到该软件的原始入口点(OEP),所以,软件保护壳的关键特征就是:原始入口点参数(数据)、输入表参数(数据)。但是输入表是一种与被保护软件相关的参数(数据),不同的被保护软件有不同的输入表参数(数据),对此本发明采用从断点位置进行查找被修改前的输入表参数(数据)、作为软件保护壳的特征之一。
因此,根据以上所述软件壳的构建(造)特征,本发明将包括软件壳名称、壳版本、断点位置参数、原始入口点参数作为软件壳的典型特征;其中用于寻找输入表中的断点位置参数和原始入口点参数是(软件)壳最基本的(特征)参数,而壳名称和壳版本则作为断点位置参数和原始入口点参数的标记;因此,对壳特征的提取过程是:先提取用于获取输入表的断点位置参数,并通过反复调试比对、对断点位置参数进行验证,然后再针对原始入口点参数进行预提取、并通过内存转储和PE结构利用预提取的初选参数对加壳软件进行修复、验证,以获得原始入口点参数;最后将壳名称、壳版本及所得原始入口点参数和断点位置参数一并输出,即为相应软件壳的壳特征。本发明即以此实现其发明目的。
因此,本发明的方法包括:
步骤1.初始化处理:将有壳保护的软件录入系统内存,并对壳类型、壳版本命名并记录,待用;
步骤2.断点位置参数的提取:对步骤1录入的有壳保护的软件找出所有系统调用;对每种系统调用,分别进行初步判断是壳初始化时所用、还是壳处理输入表时所用;并对壳初始化时所用系统调用作丢弃处理,而对壳处理输入表时所用系统调用、则再通过反复比对调试,以最终确认壳处理输入表时所用的系统调用,然后将经确认的各系统调用在调用前的位置作为壳特征中的断点位置参数记录后、供步骤5用;当对所有系统调用处理完后转步骤4;
步骤3.入口点参数的预提取:对步骤1录入的有壳保护的软件的原始入口点参数进行预提取、以获得入口点的初选参数;入口点初选参数是采用入口点参数分析方法从有壳保护的软件中获取,取得入口点初选参数后、转步骤4;
步骤4.输入表数据的获得及原始入口点参数的验证:对从步骤2得到的所有断点位置参数进行调试,通过断点回调函数获得输入表中所有参数并记录;同时使用输入表中所有参数和从步骤3得到的入口点初选参数,通过内存转储和PE结构修复,并确认入口点初选参数是否为原始入口点参数;确认的过程为:如果修复后的软件能够正常运行、则入口点初选参数的确为原始入口点数据,然后转步骤5;如果不能正常运行、则丢弃,并返回步骤3重新对原始入口点参数进行预提取;
步骤5.壳特征输出:将步骤2获得并记录的断点位置参数,以及步骤4获得的原始入口点参数,连同经步骤1命名的壳类型及壳版本名称一并作为本发明方法所得(软件保护壳的)壳特征参数输出。
上述入口点参数分析方法为采用跨段指令、堆栈平衡原理、编译语言特点以及内存断点法中的一种或几种方法综合进行。而所述壳特征参数包括:壳名称、壳版本及其原始入口点参数和断点位置参数。
本发明将包括壳名称、壳版本、断点位置参数、原始入口点参数作为软件壳的典型特征;先提取用于获取输入表的断点位置参数,并通过反复调试比对、对断点位置参数进行验证,然后再针对原始入口点参数进行预提取、并通过内存转储和PE结构利用预提取的初选参数对加壳软件进行修复、验证,以获得原始入口点参数;最后将所得壳名称、壳版本及其原始入口点参数和断点位置参数一并输出,即为提取出的相应软件壳的特征。采用本发明方法可有效地提取各类保护壳的壳特征,为此后利用所获取的壳特征对恶意软件的保护壳进行自动脱壳处理,还原被保护软件在保护前的可执行状况,以便对恶意软件进行分析处理、清除其保护屏障,为计算机的正常运行、社会正常的经济活动、通讯,甚至国家的安全保障提供有效的基础条件等特点。
具体实施方式
实施例1:以对名称为Notepad1.exe的加壳软件的壳特征提取为例:
步骤1.初始化:将Notepad1.exe录入系统内存,将该加壳软件的壳类型命名并记录为BeroExePacker,壳版本命名并记录为1.0,存储待用;
步骤2.断点位置参数的提取:找出Notepad1.exe的所有系统调用;对每种系统调用,判断是壳初始化时所用,还是壳处理输入表时所用;如果判断系统调用是壳初始化时所用,就丢弃;如果判断系统调用是壳处理输入表时所用,再通过反复比对调试,确认壳处理输入表时所用的系统调用,并记录下系统调用前的位置作为壳特征中的断点位置,供步骤5使用;对所有系统调用处理完后转步骤4;
得到的断点位置参数是:
断点1:525750FF15????????5F5A,
断点2:5152575051FF15????????5F5A59,
断点3:61C361E9;
步骤3.入口点参数的预提取:对步骤1录入的Notepad1.exe软件的原始入口点参数进行预提取、获得入口点的初选参数;本实施例入口点初选参数采用堆栈平衡原理和编译语言特点法综合(交叉)进行从有壳保护的软件中获取,取得入口点初选参数后、转步骤4;
步骤4.输入表数据的获得及原始入口点参数的验证:对从步骤2得到的所有断点位置参数、即断点1:525750FF15????????5F5A、断点2:5152575051FF15????????5F5A59和断点3:61C361E9,通过断点回调函数进行调试、获得输入表中所有参数并记录;同时使用输入表中所有参数和从步骤3得到的入口点初选参数,通过内存转储和PE结构修复,并确认入口点初选参数是否为原始入口点参数;确认的过程为:如果修复后的软件能够正常运行、则入口点初选参数的确为原始入口点数据,然后转步骤5;如果不能正常运行、则丢弃,并返回步骤3重新对原始入口点参数进行预提取;本实施例经确认得到的原始入口点参数是:
60BE????????BF????????FC B2 80 33 DB A4 B3 02 F8 6D ??????73 F6 33 C9 F864??????73 1C 33 C0 E8 5B??????73 23 B3 02 41 B0 10 E8 4F??????12 C0 73 F7 75 3FAA EB D4 E8 4D??????2B CB 75 10 E8 42??????EB 28 AC D1 E8 74 4D 13 C9 EB 1C 9148 C1 E0 08 AC E8 2C??????3D??7D????73 0A 80 FC 05 73 06 83 F8 7F 77 02 41 41 95 8BC5 B3 01 56 8B F7 2B F0 F3 A4 5E EB 8E 02 D2 75 05 8A 16 46 12 D2 C3 33 C9 41 E8 EE FFFF FF 13 C9 E8 E7 FF FF FF 72 F2 C3 BE??10 40??B9 04??????8B F9 81 FE????????7F10 AC 47 04 18 2C 02 73 F0 29 3E 03 F1 03 F9 EB E8 BA????40??8D B2????????8B 46 0C85 C0 74 51 03 C2 8B 7E 10 8B 1E 85 DB 75 02 8B DF 03 DA 03 FA 52 57 50 FF 15????????5F 5A 85 C0 74 2F 8B C8 8B 03 85 C0 74 22 0F BA F0 1F 72 04 8D 44 10 02 51 52 57 50 51 FF15????????5F 5A 59 85 C0 74 0B AB 83 C3 04 EB D8 83 C6 14 EB AA 61 C3 61 E9;
步骤5.壳特征输出:将步骤2获得并记录的断点位置参数、以及步骤4获得的原始入口点参数、连同经步骤1命名的壳类型及壳版本名称,即将:
壳名称:BeroExePacker,
断点位置参数:断点1.525750FF15????????5F5A、
断点2.5152575051FF15????????5F5A59、
断点3.61C361E9;
壳版本及其入口点参数:
版本为1.0,
入口点参数为60BE????????BF????????FC B2 80 33 DB A4 B3 02 E8 6D??????73F6 33 C9 E8 64??????73 1C 33 C0 E8 5B??????73 23 B3 02 41 B0 10 E8 4F??????12 C073F7 75 3F AA EB D4 E8 4D??????2B CB 75 10 E8 42??????EB 28 AC D1 E8 74 4D 13 C9EB 1C 91 48 C1 E0 08 AC E8 2C??????3D??7D????73 0A 80 FC 05 73 06 83 F8 7F 77 02 4141 95 8B C5 B3 01 56 8B F7 2B F0 F3 A4 5E EB 8E 02 D2 75 05 8A 16 46 12 D2 C3 33 C9 41 E8EE FF FF FF 13 C9 E8 E7 FF FF FF 72 F2 C3 BE??10 40??B9 04??????8B F9 81FE????????7F 10 AC 47 04 18 2C 02 73 F0 29 3E 03 F1 03 F9 EB E8 BA????40??8DB2????????8B 46 0C 85 C0 74 51 03 C2 8B 7E 10 8B 1E 85 DB 75 02 8B DF 03 DA 03 FA 5257 50 FF 15????????5F 5A 85 C0 74 2F 8B C8 8B 03 85 C0 74 22 0F BA F0 1F 72 04 8D 44 1002 51 52 57 50 51 FF 15????????5F 5A 59 85 C0 74 0B AB 83 C3 04 EB D8 83 C6 14 EB AA61 C3 61 E9;
一并作为本实施例所得软件Notepad1.exe的壳特征参数、输出即成。
实施例2:以名称为Notepad2.exe的带壳软件的壳特征提取为例,将其壳类型命名并记录为FSG,壳版本命名并记录为2.0;本实施例在壳特征提取过程中、除步骤3中的入口点初选参数采用跨段指令和内存断点法交叉进行、从有壳保护的软件中获取外,其余方法均与实施例1相同。本实施例所得Notepad2.exe带壳软件的壳特征为:
壳名称:FSG,
断点位置参数:断点1.AD50FF53??95、
断点2.5055FF53??AB、
断点3.75??FF630C;
壳版本及其入口点参数是:
壳版本为2.0,
入口点参数为87 25????????61 94 55 A4 B6 80 FF 13 73 F9 33 C9 FF 13 73 16 33 C0 FF13 73 1F B6 80 41 B0 10 FF 13 12 C0 73 FA 75 3A AA EB E0 FF 53 08 02 F6 83 D9 01 75 0E FF53 04 EB 24 AC D1 E8 74 2D 13 C9 EB 18 91 48 C1 E0 08 AC FF 53 04 3B 43 F8 73 0A 80 FC05 73 06 83 F8 7F 77 02 41 41 95 8B C5 B6??56 8B F7 2B F0 F3 A4 5E EB 9F 5E AD 97 AD 50FF 53 10 95 8B 07 40 78 F3 75 03 FF 63 0C 50 55 FF 53 14 AB EB EE 33 C9 41 FF 13 13 C9 FF13 72 F8 C3 02 D2 75 05 8A 16 46 12 D2 C3。
Claims (3)
1.一种软件保护壳的壳特征提取方法,包括:
步骤1.初始化处理:将有壳保护的软件录入系统内存,并对壳类型、壳版本命名并记录,待用;
步骤2.断点位置参数的提取:对步骤1录入的有壳保护的软件找出所有系统调用;对每种系统调用,分别进行初步判断是壳初始化时所用、还是壳处理输入表时所用;并对壳初始化时所用系统调用作丢弃处理,而对壳处理输入表时所用系统调用、则再通过反复比对调试,以最终确认壳处理输入表时所用的系统调用,然后将经确认的各系统调用在调用前的位置作为壳特征中的断点位置参数记录后、供步骤5用;当对所有系统调用处理完后转步骤4;
步骤3.入口点参数的预提取:对步骤1录入的有壳保护的软件的原始入口点参数进行预提取、以获得入口点的初选参数;入口点初选参数是采用入口点参数分析方法从有壳保护的软件中获取,取得入口点初选参数后、转步骤4;
步骤4.输入表数据的获得及原始入口点参数的验证:对从步骤2得到的所有断点位置参数进行调试,通过断点回调函数获得输入表中所有参数并记录;同时使用输入表中所有参数和从步骤3得到的入口点初选参数,通过内存转储和PE结构修复,并确认入口点初选参数是否为原始入口点参数;确认的过程为:如果修复后的软件能够正常运行、则入口点初选参数的确为原始入口点数据,然后转步骤5;如果不能正常运行、则丢弃,并返回步骤3重新对原始入口点参数进行预提取;
步骤5.壳特征输出:将步骤2获得并记录的断点位置参数,以及步骤4获得的原始入口点参数,连同经步骤1命名的壳类型及壳版本名称一并作为本发明方法所得壳特征参数输出。
2.按权利要求1所述软件保护壳的壳特征提取方法,其特征在于所述入口点参数分析方法为采用跨段指令、堆栈平衡原理、编译语言特点以及内存断点法中的一种或几种方法综合进行。
3.按权利要求1所述软件保护壳的壳特征提取方法,其特征在于所述壳特征参数包括:壳名称、壳版本及其原始入口点参数和断点位置参数。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110121695.5A CN102184103B (zh) | 2011-05-12 | 2011-05-12 | 软件保护壳的壳特征提取方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110121695.5A CN102184103B (zh) | 2011-05-12 | 2011-05-12 | 软件保护壳的壳特征提取方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102184103A true CN102184103A (zh) | 2011-09-14 |
| CN102184103B CN102184103B (zh) | 2014-05-21 |
Family
ID=44570284
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201110121695.5A Expired - Fee Related CN102184103B (zh) | 2011-05-12 | 2011-05-12 | 软件保护壳的壳特征提取方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102184103B (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103019740A (zh) * | 2012-12-28 | 2013-04-03 | 北京神州绿盟信息安全科技股份有限公司 | 一种获取导入表和重定位表的方法及装置 |
| CN103019828A (zh) * | 2012-12-28 | 2013-04-03 | 北京神州绿盟信息安全科技股份有限公司 | 一种基于加壳程序的辅助脱壳方法及装置 |
| CN103019739A (zh) * | 2012-12-28 | 2013-04-03 | 北京神州绿盟信息安全科技股份有限公司 | 重定位表的修复方法、程序脱壳方法及相关装置 |
| CN103064687A (zh) * | 2012-12-28 | 2013-04-24 | 北京神州绿盟信息安全科技股份有限公司 | 一种程序入口点oep的确定方法及装置 |
| CN103077029A (zh) * | 2012-12-28 | 2013-05-01 | 北京神州绿盟信息安全科技股份有限公司 | 一种导入表的修复方法及装置 |
| CN106650431A (zh) * | 2016-12-09 | 2017-05-10 | 北京奇虎科技有限公司 | 一种加固安卓安装包的动态链接库so文件的方法和装置 |
| CN111522699A (zh) * | 2020-04-14 | 2020-08-11 | 杭州米加科技股份有限公司 | 针对vmp指令引发目标内存变化的检测方法 |
| CN113139188A (zh) * | 2021-04-29 | 2021-07-20 | 湘潭大学 | Android平台上一种绕过虚假函数的自动脱壳技术 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101414328A (zh) * | 2007-10-15 | 2009-04-22 | 北京瑞星国际软件有限公司 | 一种用于对文件进行脱壳的装置和方法 |
| US20100131772A1 (en) * | 2008-11-18 | 2010-05-27 | Bally Gaming, Inc. | Module validation |
| CN102004884A (zh) * | 2009-08-28 | 2011-04-06 | 华为技术有限公司 | 一种获取可执行文件输入表的方法及装置 |
-
2011
- 2011-05-12 CN CN201110121695.5A patent/CN102184103B/zh not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101414328A (zh) * | 2007-10-15 | 2009-04-22 | 北京瑞星国际软件有限公司 | 一种用于对文件进行脱壳的装置和方法 |
| US20100131772A1 (en) * | 2008-11-18 | 2010-05-27 | Bally Gaming, Inc. | Module validation |
| CN102004884A (zh) * | 2009-08-28 | 2011-04-06 | 华为技术有限公司 | 一种获取可执行文件输入表的方法及装置 |
Non-Patent Citations (1)
| Title |
|---|
| 匿名: "脱壳入门初级教学", 《HTTP://BBS.PEDIY.COM/SHOWTHREAD.PHP?T=20366》 * |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103019739B (zh) * | 2012-12-28 | 2015-07-29 | 北京神州绿盟信息安全科技股份有限公司 | 重定位表的修复方法、程序脱壳方法及相关装置 |
| CN103019740A (zh) * | 2012-12-28 | 2013-04-03 | 北京神州绿盟信息安全科技股份有限公司 | 一种获取导入表和重定位表的方法及装置 |
| CN103019739A (zh) * | 2012-12-28 | 2013-04-03 | 北京神州绿盟信息安全科技股份有限公司 | 重定位表的修复方法、程序脱壳方法及相关装置 |
| CN103064687A (zh) * | 2012-12-28 | 2013-04-24 | 北京神州绿盟信息安全科技股份有限公司 | 一种程序入口点oep的确定方法及装置 |
| CN103077029A (zh) * | 2012-12-28 | 2013-05-01 | 北京神州绿盟信息安全科技股份有限公司 | 一种导入表的修复方法及装置 |
| CN103019828B (zh) * | 2012-12-28 | 2015-06-17 | 北京神州绿盟信息安全科技股份有限公司 | 一种基于加壳程序的辅助脱壳方法及装置 |
| CN103019828A (zh) * | 2012-12-28 | 2013-04-03 | 北京神州绿盟信息安全科技股份有限公司 | 一种基于加壳程序的辅助脱壳方法及装置 |
| CN103019740B (zh) * | 2012-12-28 | 2015-08-19 | 北京神州绿盟信息安全科技股份有限公司 | 一种获取导入表和重定位表的方法及装置 |
| CN103064687B (zh) * | 2012-12-28 | 2016-02-24 | 北京神州绿盟信息安全科技股份有限公司 | 一种程序入口点oep的确定方法及装置 |
| CN103077029B (zh) * | 2012-12-28 | 2016-07-13 | 北京神州绿盟信息安全科技股份有限公司 | 一种导入表的修复方法及装置 |
| CN106650431A (zh) * | 2016-12-09 | 2017-05-10 | 北京奇虎科技有限公司 | 一种加固安卓安装包的动态链接库so文件的方法和装置 |
| CN111522699A (zh) * | 2020-04-14 | 2020-08-11 | 杭州米加科技股份有限公司 | 针对vmp指令引发目标内存变化的检测方法 |
| CN111522699B (zh) * | 2020-04-14 | 2023-05-23 | 杭州斯凯数据科技集团有限公司 | 针对vmp指令引发目标内存变化的检测方法 |
| CN113139188A (zh) * | 2021-04-29 | 2021-07-20 | 湘潭大学 | Android平台上一种绕过虚假函数的自动脱壳技术 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102184103B (zh) | 2014-05-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102184103B (zh) | 软件保护壳的壳特征提取方法 | |
| CN106096338B (zh) | 一种具有数据流混淆的虚拟化软件保护方法 | |
| Zhang et al. | {TXSPECTOR}: Uncovering attacks in ethereum from transactions | |
| Ren et al. | Empirical evaluation of smart contract testing: What is the best choice? | |
| US8589897B2 (en) | System and method for branch extraction obfuscation | |
| CN105260659B (zh) | 一种基于qemu的内核级代码重用型攻击检测方法 | |
| CN102184363B (zh) | 基于综合处理的软件壳自动脱壳方法 | |
| Kalysch et al. | VMAttack: deobfuscating virtualization-based packed binaries | |
| CN102713839A (zh) | 用于动态函数调用系统中的积极自我修改的系统和方法 | |
| CN105488397B (zh) | 一种基于情境的rop攻击检测系统及方法 | |
| CN102662830A (zh) | 一种基于动态二进制翻译框架的代码复用攻击检测系统 | |
| CN105683990A (zh) | 用于保护动态库的方法和装置 | |
| CN101986326A (zh) | 保护软件安全的方法及装置 | |
| CN102136052A (zh) | 一种软件的保护方法 | |
| CN104573427A (zh) | 一种可执行应用的混淆方法和装置 | |
| CN111191243A (zh) | 一种漏洞检测方法、装置和存储介质 | |
| CN111428239B (zh) | 一种恶意挖矿软件的检测方法 | |
| Guo et al. | Function-oriented programming: A new class of code reuse attack in c applications | |
| WO2023035751A1 (zh) | 移动端应用的智能混淆 | |
| Kochberger et al. | SoK: automatic deobfuscation of virtualization-protected applications | |
| CN103019865B (zh) | 虚拟机监控方法和系统 | |
| Liao et al. | Smartstate: Detecting state-reverting vulnerabilities in smart contracts via fine-grained state-dependency analysis | |
| CN108108617A (zh) | 基于静态指令流跟踪的导入表修复方法及装置 | |
| CN102750220B (zh) | 一种软件源代码安全缺陷分析的方法和装置 | |
| Pandey et al. | A framework for producing effective and efficient secure code through malware analysis |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20140521 Termination date: 20170512 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |