CN111159663B - 指令定位方法和装置 - Google Patents
指令定位方法和装置 Download PDFInfo
- Publication number
- CN111159663B CN111159663B CN201911403984.7A CN201911403984A CN111159663B CN 111159663 B CN111159663 B CN 111159663B CN 201911403984 A CN201911403984 A CN 201911403984A CN 111159663 B CN111159663 B CN 111159663B
- Authority
- CN
- China
- Prior art keywords
- read
- program
- memory segment
- write
- instruction
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 52
- 238000004458 analytical method Methods 0.000 claims abstract description 42
- 230000002159 abnormal effect Effects 0.000 claims abstract description 24
- 230000005856 abnormality Effects 0.000 claims abstract description 7
- 238000004590 computer program Methods 0.000 claims description 10
- 230000004044 response Effects 0.000 claims description 8
- 230000001360 synchronised effect Effects 0.000 abstract 1
- 230000006870 function Effects 0.000 description 18
- 238000010586 diagram Methods 0.000 description 11
- 230000008569 process Effects 0.000 description 8
- 238000004891 communication Methods 0.000 description 6
- 238000005516 engineering process Methods 0.000 description 6
- 230000003287 optical effect Effects 0.000 description 4
- 230000001960 triggered effect Effects 0.000 description 4
- 244000035744 Hura crepitans Species 0.000 description 3
- 239000012634 fragment Substances 0.000 description 3
- 230000009467 reduction Effects 0.000 description 3
- 239000000835 fiber Substances 0.000 description 2
- 238000007726 management method Methods 0.000 description 2
- 230000000644 propagated effect Effects 0.000 description 2
- 239000004065 semiconductor Substances 0.000 description 2
- 230000009466 transformation Effects 0.000 description 2
- 238000000844 transformation Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000005056 compaction Methods 0.000 description 1
- 230000007613 environmental effect Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 238000011084 recovery Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
- G06F21/12—Protecting executable software
- G06F21/14—Protecting executable software against software analysis or reverse engineering, e.g. by obfuscation
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Multimedia (AREA)
- Technology Law (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Debugging And Monitoring (AREA)
Abstract
本申请实施例公开了指令定位方法和装置。该方法的一具体实施方式包括:确定待分析程序的输入数据或输出数据所使用的内存段;基于内存段,执行如下指令定位步骤:去除内存段的读写权限;运行待分析程序;响应于检测到读写数据异常信号,确定对应的读写指令在待分析程序中的位置,其中,读写数据异常信号用于表征向内存段写入数据时产生异常,读写指令用于对内存段进行读写操作;响应于针对读写指令的逻辑分析结束,且确定需要继续进行逻辑分析,确定内存段中的数据的来源内存段,并基于来源内存段继续执行指令定位步骤。该实施方式具有定位准确无遗漏,快速高效,操作简单,无任何环境配置或依赖,可以于分析时同步完成,不影响分析效率等特点。
Description
技术领域
本申请实施例涉及计算机技术领域,具体涉及指令定位方法和装置。
背景技术
当前,移动App安全防护技术发展迅速,其中代码混淆作为应用最广泛,通用程度最高的技术,已经成为每个应用必须增加的一种防护策略。
例如,ollvm混淆技术,其原理是基于llvm编译器,直接对native层汇编指令进行扩充混淆。通过增添大量无效跳转及代码片段,混淆全部函数名称及变量名称,单个函数体内指令集混淆后可能膨胀数十倍之大,并且基于llvm编译器特点,被混淆函数流程也会进行大幅优化,但不论是混淆还是优化均不影响函数功能及最终结果的计算。
针对ollvm强混淆保护,目前有效的分析手段很少,且分析门槛较高,如目前最常用的分析手段是基于虚拟执行的指令精简。虚拟执行是利用虚拟化技术(qemu)制作特殊容器(沙箱),将受保护应用或算法置于容器内执行,在执行时对指令进行分析,提取实际执行到的关键跳转及代码片段并进行记录(往往仅记录关键跳转,记录全部代码片段性能损耗太大),最终由记录的跳转及代码片段形成完整流程逻辑图。还原后的算法主体逻辑准确,与原始算法流程相比差异较小,后期可对指令精简后算法直接分析。
基于虚拟执行的指令精简技术将逻辑分析与精简混淆指令相分离,在开始分析前需要进行大量工作对混淆代码(函数)做指令精简。前期沙箱的设计及内部实验环境配置较为复杂,且沙箱的应用支持度是该技术的一大问题,在一定程度上支持部分App的算法精简。综上所述,该方法实际操作流程复杂,环境依赖较严重,且应用支持度不高是其主要缺点。
发明内容
本申请实施例的目的在于提出了一种改进的指令定位方法和装置,来解决以上背景技术部分提到的技术问题。
第一方面,本申请实施例提供了一种指令定位方法,该方法包括:确定待分析程序的输入数据或输出数据所使用的内存段;基于内存段,执行如下指令定位步骤:去除内存段的读写权限;运行待分析程序;响应于检测到读写数据异常信号,确定对应的读写指令在待分析程序中的位置,其中,读写数据异常信号用于表征向内存段写入数据时产生异常,读写指令用于对内存段进行读写操作;响应于针对读写指令的逻辑分析结束,且确定需要继续进行逻辑分析,确定内存段中的数据的来源内存段,并基于来源内存段继续执行指令定位步骤。
在一些实施例中,读写数据异常信号由预设的异常信号捕获处理程序检测。
在一些实施例中,确定对应的读写指令在待分析程序中的位置,包括:向程序调试器发送自定义信号;程序调试器响应自定义信号,将待分析程序暂停于读写指令的位置。
在一些实施例中,在确定对应的读写指令在待分析程序中的位置之后,方法还包括:恢复内存段的读写权限。
在一些实施例中,待分析程序是经过代码混淆处理的程序。
第二方面,本申请实施例提供了一种指令定位装置,该装置包括:第一确定模块,用于确定待分析程序的输入数据或输出数据所使用的内存段;定位模块,用于基于内存段,执行如下指令定位步骤:去除内存段的读写权限;运行待分析程序;响应于检测到读写数据异常信号,确定对应的读写指令在待分析程序中的位置,其中,读写数据异常信号用于表征向内存段写入数据时产生异常,读写指令用于对内存段进行读写操作;第二确定模块,用于响应于针对读写指令的逻辑分析结束,且确定需要继续进行逻辑分析,确定内存段中的数据的来源内存段,并基于来源内存段继续执行指令定位步骤。
在一些实施例中,读写数据异常信号由预设的异常信号捕获处理程序检测。
在一些实施例中,定位模块包括:发送单元,用于向程序调试器发送自定义信号;程序调试器用于响应自定义信号,将待分析程序暂停于读写指令的位置。
第三方面,本申请实施例提供了一种电子设备,包括:一个或多个处理器;存储装置,用于存储一个或多个程序,当一个或多个程序被一个或多个处理器执行,使得一个或多个处理器实现如第一方面中任一实现方式描述的方法。
第四方面,本申请实施例提供了一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如第一方面中任一实现方式描述的方法。
本申请实施例提供的指令定位方法和装置,通过去除待分析程序的输入数据或输出数据所使用的内存段的读写权限,当待分析程序运行时,如果产生读写数据异常信号,根据该信号确定读写指令在待分析程序中的位置,通过多次执行指令定位步骤,可以从待分析程序中确定关键指令的位置,从而有助于根据关键指令所在的代码段对待分析程序进行分析,得到待分析程序的逻辑流程,该方法具有定位准确无遗漏,快速高效,操作简单,无任何环境配置或依赖,可以于分析时同步完成,不影响分析效率等特点。
附图说明
通过阅读参照以下附图所作的对非限制性实施例所作的详细描述,本申请的其它特征、目的和优点将会变得更明显:
图1是本申请可以应用于其中的示例性系统架构图;
图2是根据本申请的指令定位方法的一个实施例的流程图;
图3是根据本申请的指令定位方法的目标程序的逻辑流程的示例性示意图;
图4是根据本申请的指令定位装置的一个实施例的结构示意图;
图5是适于用来实现本申请实施例的电子设备的计算机系统的结构示意图。
具体实施方式
下面结合附图和实施例对本申请作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释相关发明,而非对该发明的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与有关发明相关的部分。
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。
图1示出了可以应用本申请实施例的指令定位方法的示例性系统架构100。
如图1所示,系统架构100可以包括终端设备101,网络102和服务器103。网络102用以在终端设备101和服务器103之间提供通信链路的介质。网络102可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。
服务器103可以是提供各种服务的服务器,例如对终端设备101上运行的程序提供支持的服务器。例如,服务器可以将经过代码混淆处理的应用程序发送到终端设备。
需要说明的是,本申请实施例所提供的指令定位方法可以由终端设备101或服务器103执行,相应地,指令定位装置可以设置于终端设备101或服务器103中。
应该理解,图1中的终端设备、网络和服务器的数目仅仅是示意性的。根据实现需要,可以具有任意数目的终端设备、网络、和服务器。
继续参考图2,其示出了根据本申请的应指令定位方法的一个实施例的流程200。该方法包括以下步骤:
步骤201,确定待分析程序的输入数据或输出数据所使用的内存段。
在本实施例中,指令定位方法的执行主体(例如图1所示的终端设备或服务器)可以确定待分析程序的输入数据或输出数据所使用的内存段。其中,待分析程序可以是待对其进行逻辑分析的程序,通常,待分析程序可以在上述执行主体上运行。
在本实施例的一些可选的实现方式中,待分析程序是经过代码混淆处理的程序。其中,上述执行主体可以利用各种代码混淆技术对待分析程序进行代码混淆处理,作为示例,可以使用ollvm强混淆技术对原始程序进行代码混淆处理,得到上述待分析程序。
在本实施例中,通常,上述执行主体可以利用现有的方法,确定待分析程序的输入数据或输出数据所使用的内存段。例如,可以首先找到目标程序的入口点,该入口点往往是Java层注册的JNI函数,或是由JNI内部调用的函数。该程序具有明确的输入或输出,在传统调试过程中可以看到其在执行结束后期待的结果往往会产生,此时结果所在内存段即为输出数据使用的内存段;同时该程序若具有明确参数标注输入数据,则该输入数据所在的内存段即为输入数据所使用的内存段。
上述执行主体可以进一步基于所确定出的内存段,执行如下指令定位步骤(包括步骤202-步骤204)。
步骤202,去除内存段的读写权限。
在本实施例中,上述执行主体可以去除内存段的读写权限。作为示例,当上述目标程序在Linux系统下运行时,可以利用Linux系统下的内存管理方法,去除上述内存段的读写权限。
步骤203,运行待分析程序。
在本实施例中,上述执行主体可以运行待分析程序。作为示例,待分析程序可以由程序固有功能正常触发运行,也可利用预先编写的shellcode强制调用触发。
步骤204,响应于检测到读写数据异常信号,确定对应的读写指令在待分析程序中的位置。
在本实施例中,上述执行主体可以响应于检测到读写数据异常信号,确定对应的读写指令在待分析程序中的位置,其中,读写数据异常信号用于表征向内存段写入数据时产生异常,读写指令用于对内存段进行读写操作。
通常,由于上述内存段的读写权限被去除,因此,当目标程序执行的过程中,向内存段读写数据时,会产生数据异常信号。作为示例,在Linux系统下,Linux内核具有如下特点:内存具有读、写、执行(r/w/x)等基础属性,如向不具有写权限的内存页强行写入,Linux内核会抛出异常信号,在不捕获异常信号时,信号由系统处理,默认的处理方式是中断程序运行,并对崩溃程序进行内核dump转储;还可以对该信号进行捕获处理,处理逻辑由程序自身实现。
在本实施例的一些可选的实现方式中,读写数据异常信号由预设的异常信号捕获处理程序检测。其中,异常信号捕获处理程序(handler)可以对读写数据异常信号产生响应,同时在该处理程序中可以添加各种功能,例如临时恢复内存读写权限;记录当前指令的真实位置;发送自定义用户信号;重新去除内存读写权限等。通过使用异常信号捕获处理程序,可以灵活地对读写数据异常信号进行处理,有助于提高指令定位的准确性。
通常,可以在检测到数据异常信号时,使上述待分析程序暂停运行,此时可以确定当前执行的指令的位置即为读写指令的位置。
在本实施例的一些可选的实现方式中,上述执行主体可以按照如下步骤确定对应的读写指令在待分析程序中的位置:
首先,向程序调试器发送自定义信号。作为示例,自定义信号可以是诸如SIGUSR1等的信号,当检测到数据读写异常信号时,可以向程序调试器(例如GDB、IDA等工具)发送自定义信号。程序调试器可以设置在上述执行主体中,也可以设置在与上述执行主体通信连接的电子设备上。
程序调试器响应自定义信号,将待分析程序暂停于读写指令的位置。当待分析程序暂停时,可以确定当前执行的指令即读写指令。本实现方式通过向程序调试器发送自定义信号,由程序调试器确定读写指令的位置,可以实现灵活、准确地由程序调试器确定读写指令的位置。
在本实施例的一些可选的实现方式中,步骤204中,在确定对应的读写指令在待分析程序中的位置之后,上述执行主体还可以恢复内存段的读写权限,从而可以实现再次执行指令定位步骤时,不受上次去除读写权限的影响,有利于循环地确定多个读写指令的位置,全面地对目标程序进行逻辑分析。
步骤205,响应于针对读写指令的逻辑分析结束,且确定需要继续进行逻辑分析,确定内存段中的数据的来源内存段,并基于来源内存段继续执行指令定位步骤。
在本实施例中,上述执行主体可以响应于针对读写指令的逻辑分析结束,且确定需要继续进行逻辑分析,确定内存段中的数据的来源内存段,并基于来源内存段继续执行指令定位步骤(即步骤202-步骤204)。通常,对读写指令的逻辑分析由技术人员完成,确定对读写指令的逻辑分析是否结束,以及确定是否需要继续进行逻辑分析,可以由技术人员指示。
通常,为了对目标程序的逻辑流程进行更详细的分析,需要执行多次上述指令定位步骤。作为示例,假设目标程序为加密算法的程序,第一次确定的内存段A为算法最终加密输出的数据所在的内存段,利用现有的分析方法可以确定输出的数据由内存段B(即来源内存段)拷贝而来,再对B分析可以确定对B的申请、初始化等操作,从而可以确定内存段B,针对内存段B,可以再次执行指令定位步骤。经过多次执行指令定位步骤,可以得到多个关键的读写指令的位置,利用现有的逻辑分析方法,如图3所示,可以得到目标程序的逻辑流程图。例如最终定位到读取加密算法所用秘钥的关键指令(LDM指令)位置,秘钥变换并保存的指令片段位置等。加密流程整体较复杂,经多重变换后最终使用了AES加密算法。
本申请的上述实施例提供的方法,通过去除待分析程序的输入数据或输出数据所使用的内存段的读写权限,当待分析程序运行时,如果产生读写数据异常信号,根据该信号确定读写指令在待分析程序中的位置,通过多次执行指令定位步骤,可以从待分析程序中确定关键指令的位置,从而有助于根据关键指令所在的代码段对待分析程序进行分析,得到待分析程序的逻辑流程,该方法具有定位准确无遗漏,快速高效,操作简单,无任何环境配置或依赖,可以于分析时同步完成,不影响分析效率等特点。
进一步参考图4,作为对上述各图所示方法的实现,本申请提供了一种指令定位装置的一个实施例,该装置实施例与图2所示的方法实施例相对应,该装置具体可以应用于各种电子设备中。
如图4所示,本实施例的指令定位装置400包括:第一确定模块401,用于确定待分析程序的输入数据或输出数据所使用的内存段;定位模块402,用于基于内存段,执行如下指令定位步骤:去除内存段的读写权限;运行待分析程序;响应于检测到读写数据异常信号,确定对应的读写指令在待分析程序中的位置,其中,读写数据异常信号用于表征向内存段写入数据时产生异常,读写指令用于对内存段进行读写操作;第二确定模块403,用于响应于针对读写指令的逻辑分析结束,且确定需要继续进行逻辑分析,确定内存段中的数据的来源内存段,并基于来源内存段继续执行指令定位步骤。
在本实施例中,指令定位方法的第一确定模块401可以确定待分析程序的输入数据或输出数据所使用的内存段。其中,待分析程序可以是待对其进行逻辑分析的程序,通常,待分析程序可以在上述装置上运行。
在本实施例中,通常,上述第一确定模块401可以利用现有的方法,确定待分析程序的输入数据或输出数据所使用的内存段。例如,可以首先找到目标程序的入口点,该入口点往往是Java层注册的JNI函数,或是由JNI内部调用的函数。该程序具有明确的输入或输出,在传统调试过程中可以看到其在执行结束后期待的结果往往会产生,此时结果所在内存段即为输出数据使用的内存段;同时该程序若具有明确参数标注输入数据,则该输入数据所在的内存段即为输入数据所使用的内存段。
在本实施例中,定位模块402可以去除内存段的读写权限。作为示例,当上述目标程序在Linux系统下运行时,可以利用Linux系统下的内存管理方法,去除上述内存段的读写权限。
在本实施例中,定位模块402可以运行待分析程序。作为示例,待分析程序可以由程序固有功能正常触发运行,也可利用预先编写的shellcode强制调用触发。
在本实施例中,上述定位模块402可以响应于检测到读写数据异常信号,确定对应的读写指令在待分析程序中的位置,其中,读写数据异常信号用于表征向内存段写入数据时产生异常,读写指令用于对内存段进行读写操作。
通常,由于上述内存段的读写权限被去除,因此,当目标程序执行的过程中,向内存段读写数据时,会产生数据异常信号。作为示例,在Linux系统下,Linux内核具有如下特点:内存具有读、写、执行(r/w/x)等基础属性,如向不具有写权限的内存页强行写入,Linux内核会抛出异常信号,在不捕获异常信号时,信号由系统处理,默认的处理方式是中断程序运行,并对崩溃程序进行内核dump转储;还可以对该信号进行捕获处理,处理逻辑由程序自身实现。
在本实施例中,第二确定模块403可以响应于针对读写指令的逻辑分析结束,且确定需要继续进行逻辑分析,确定内存段中的数据的来源内存段,并基于来源内存段继续执行指令定位步骤。通常,对读写指令的逻辑分析由技术人员完成,确定对读写指令的逻辑分析是否结束,以及确定是否需要继续进行逻辑分析,可以由技术人员指示。
通常,为了对目标程序的逻辑流程进行更详细的分析,需要执行多次上述指令定位步骤。作为示例,假设目标程序为加密算法的程序,第一次确定的内存段A为算法最终加密输出的数据所在的内存段,利用现有的分析方法可以确定输出的数据由内存段B(即来源内存段)拷贝而来,再对B分析可以确定对B的申请、初始化等操作,从而可以确定内存段B,针对内存段B,可以再次执行指令定位步骤。经过多次执行指令定位步骤,可以得到多个关键的读写指令的位置,利用现有的逻辑分析方法,如图3所示,可以得到目标程序的逻辑流程图。例如最终定位到读取加密算法所用秘钥的关键指令(LDM指令)位置,秘钥变换并保存的指令片段位置等。加密流程整体较复杂,经多重变换后最终使用了AES加密算法。
在本实施例的一些可选的实现方式中,读写数据异常信号可以由预设的异常信号捕获处理程序检测。
在本实施例的一些可选的实现方式中,定位模块402可以包括:发送单元(图中未示出),用于向程序调试器发送自定义信号;程序调试器(图中未示出)用于响应自定义信号,将待分析程序暂停于读写指令的位置。
在本实施例的一些可选的实现方式中,指令定位装置还可以包括:恢复模块(图中未示出),用于恢复内存段的读写权限。
在本实施例的一些可选的实现方式中,待分析程序可以是经过代码混淆处理的程序。
本申请的上述实施例提供的装置,通过去除待分析程序的输入数据或输出数据所使用的内存段的读写权限,当待分析程序运行时,如果产生读写数据异常信号,根据该信号确定读写指令在待分析程序中的位置,通过多次执行指令定位步骤,可以从待分析程序中确定关键指令的位置,从而有助于根据关键指令所在的代码段对待分析程序进行分析,得到待分析程序的逻辑流程,该方法具有定位准确无遗漏,快速高效,操作简单,无任何环境配置或依赖,可以于分析时同步完成,不影响分析效率等特点。
下面参考图5,其示出了适于用来实现本申请实施例的电子设备的计算机系统500的结构示意图。图5示出的电子设备仅仅是一个示例,不应对本申请实施例的功能和使用范围带来任何限制。
如图5所示,计算机系统500包括中央处理单元(CPU)501,其可以根据存储在只读存储器(ROM)502中的程序或者从存储部分508加载到随机访问存储器(RAM)503中的程序而执行各种适当的动作和处理。在RAM 503中,还存储有系统500操作所需的各种程序和数据。CPU 501、ROM 502以及RAM 503通过总线504彼此相连。输入/输出(I/O)接口505也连接至总线504。
以下部件连接至I/O接口505:包括键盘、鼠标等的输入部分506;包括诸如液晶显示器(LCD)等以及扬声器等的输出部分507;包括硬盘等的存储部分508;以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分509。通信部分509经由诸如因特网的网络执行通信处理。驱动器510也根据需要连接至I/O接口505。可拆卸介质511,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器510上,以便于从其上读出的计算机程序根据需要被安装入存储部分508。
特别地,根据本公开的实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本公开的实施例包括一种计算机程序产品,其包括承载在计算机可读介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信部分509从网络上被下载和安装,和/或从可拆卸介质511被安装。在该计算机程序被中央处理单元(CPU)501执行时,执行本申请的方法中限定的上述功能。
需要说明的是,本申请所述的计算机可读存储介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本申请中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本申请中,计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读存储介质,该计算机可读存储介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读存储介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:无线、电线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言或其组合来编写用于执行本申请的操作的计算机程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、Smalltalk、C++,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)—连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
附图中的流程图和框图,图示了按照本申请各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,该模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
描述于本申请实施例中所涉及到的模块可以通过软件的方式实现,也可以通过硬件的方式来实现。所描述的模块也可以设置在处理器中,例如,可以描述为:一种处理器包括第一确定模块、定位模块、第二确定模块。其中,这些模块的名称在某种情况下并不构成对该单元本身的限定,例如,第一确定模块还可以被描述为“用于确定待分析程序的输入数据或输出数据所使用的内存段的模块”。
作为另一方面,本申请还提供了一种计算机可读存储介质,该计算机可读存储介质可以是上述实施例中描述的电子设备中所包含的;也可以是单独存在,而未装配入该电子设备中。上述计算机可读存储介质承载有一个或者多个程序,当上述一个或者多个程序被该电子设备执行时,使得该电子设备:确定待分析程序的输入数据或输出数据所使用的内存段;基于内存段,执行如下指令定位步骤:去除内存段的读写权限;运行待分析程序;响应于检测到读写数据异常信号,确定对应的读写指令在待分析程序中的位置,其中,读写数据异常信号用于表征向内存段写入数据时产生异常,读写指令用于对内存段进行读写操作;响应于针对读写指令的逻辑分析结束,且确定需要继续进行逻辑分析,确定内存段中的数据的来源内存段,并基于来源内存段继续执行指令定位步骤。
以上描述仅为本申请的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解,本申请中所涉及的发明范围,并不限于上述技术特征的特定组合而成的技术方案,同时也应涵盖在不脱离上述发明构思的情况下,由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本申请中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。
Claims (10)
1.一种指令定位方法,其特征在于,所述方法包括:
确定待分析程序的输入数据或输出数据所使用的内存段;
基于所述内存段,执行如下指令定位步骤:
去除所述内存段的读写权限;
运行待分析程序;
响应于检测到读写数据异常信号,确定对应的读写指令在所述待分析程序中的位置,其中,所述读写数据异常信号用于表征向所述内存段写入数据时产生异常,所述读写指令用于对所述内存段进行读写操作;
响应于针对所述读写指令的逻辑分析结束,且确定需要继续进行逻辑分析,确定所述内存段中的数据的来源内存段,并基于所述来源内存段继续执行所述指令定位步骤。
2.根据权利要求1所述的方法,其特征在于,所述读写数据异常信号由预设的异常信号捕获处理程序检测。
3.根据权利要求1所述的方法,其特征在于,所述确定对应的读写指令在所述待分析程序中的位置,包括:
向程序调试器发送自定义信号;
程序调试器响应所述自定义信号,将所述待分析程序暂停于所述读写指令的位置。
4.根据权利要求1所述的方法,其特征在于,在所述确定对应的读写指令在所述待分析程序中的位置之后,所述方法还包括:
恢复所述内存段的读写权限。
5.根据权利要求1所述的方法,其特征在于,所述待分析程序是经过代码混淆处理的程序。
6.一种指令定位装置,其特征在于,所述装置包括:
第一确定模块,用于确定待分析程序的输入数据或输出数据所使用的内存段;
定位模块,用于基于所述内存段,执行如下指令定位步骤:
去除所述内存段的读写权限;
运行待分析程序;
响应于检测到读写数据异常信号,确定对应的读写指令在所述待分析程序中的位置,其中,所述读写数据异常信号用于表征向所述内存段写入数据时产生异常,所述读写指令用于对所述内存段进行读写操作;
第二确定模块,用于响应于针对所述读写指令的逻辑分析结束,且确定需要继续进行逻辑分析,确定所述内存段中的数据的来源内存段,并基于所述来源内存段继续执行所述指令定位步骤。
7.根据权利要求6所述的装置,其特征在于,所述读写数据异常信号由预设的异常信号捕获处理程序检测。
8.根据权利要求6所述的装置,其特征在于,所述定位模块包括:
发送单元,用于向程序调试器发送自定义信号;
程序调试器用于响应所述自定义信号,将所述待分析程序暂停于所述读写指令的位置。
9.一种电子设备,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1-5中任一所述的方法。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1-5中任一所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911403984.7A CN111159663B (zh) | 2019-12-30 | 2019-12-30 | 指令定位方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911403984.7A CN111159663B (zh) | 2019-12-30 | 2019-12-30 | 指令定位方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111159663A CN111159663A (zh) | 2020-05-15 |
| CN111159663B true CN111159663B (zh) | 2022-04-29 |
Family
ID=70559569
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911403984.7A Active CN111159663B (zh) | 2019-12-30 | 2019-12-30 | 指令定位方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111159663B (zh) |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107085687A (zh) * | 2017-05-11 | 2017-08-22 | 北京理工大学 | 基于二进制熵的模糊测试加解密函数定位方法 |
| CN108171073A (zh) * | 2017-12-06 | 2018-06-15 | 复旦大学 | 一种基于代码层语义解析驱动的隐私数据识别方法 |
| CN108920306A (zh) * | 2018-06-29 | 2018-11-30 | 努比亚技术有限公司 | 基于内存管理的重启定位方法、移动终端及可读存储介质 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8572577B2 (en) * | 2008-06-20 | 2013-10-29 | International Business Machines Corporation | Monitoring changes to data within a critical section of a threaded program |
-
2019
- 2019-12-30 CN CN201911403984.7A patent/CN111159663B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107085687A (zh) * | 2017-05-11 | 2017-08-22 | 北京理工大学 | 基于二进制熵的模糊测试加解密函数定位方法 |
| CN108171073A (zh) * | 2017-12-06 | 2018-06-15 | 复旦大学 | 一种基于代码层语义解析驱动的隐私数据识别方法 |
| CN108920306A (zh) * | 2018-06-29 | 2018-11-30 | 努比亚技术有限公司 | 基于内存管理的重启定位方法、移动终端及可读存储介质 |
Non-Patent Citations (2)
| Title |
|---|
| A multi-view context-aware approach to Android malware detection and malicious code localization;Annamalai Narayanan 等;《Empirical Software Engineering》;20170830;全文 * |
| 基于软件执行轨迹差异比对的关键函数定位技术研究;康绯等;《通信学报》;20130925(第09期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111159663A (zh) | 2020-05-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108874506B (zh) | 虚拟机直通设备的热迁移方法和装置 | |
| CN109598122B (zh) | 用于检测侧信道攻击的方法和装置 | |
| CN107004088B (zh) | 确定装置、确定方法及记录介质 | |
| US9355002B2 (en) | Capturing trace information using annotated trace output | |
| US10884838B2 (en) | Maintaining core dump privacy during application fault handling | |
| US8671397B2 (en) | Selective data flow analysis of bounded regions of computer software applications | |
| US10318479B2 (en) | Method and device for automatically identifying junk file | |
| US9411711B2 (en) | Adopting an existing automation script to a new framework | |
| CN113761482A (zh) | 一种程序代码保护方法和装置 | |
| US11030074B2 (en) | Code update based on detection of change in runtime code during debugging | |
| CN110659210A (zh) | 一种信息获取方法、装置、电子设备及存储介质 | |
| US20120054724A1 (en) | Incremental static analysis | |
| CN110727476B (zh) | 一种授权配置文件的生成方法、装置、设备及存储介质 | |
| US8650546B2 (en) | Static analysis based on observed string values during execution of a computer-based software application | |
| US9990493B2 (en) | Data processing system security device and security method | |
| CN111159663B (zh) | 指令定位方法和装置 | |
| KR101724412B1 (ko) | 확장 코드를 이용한 어플리케이션 분석 장치 및 방법 | |
| US20160350155A1 (en) | Synthesizing inputs to preserve functionality | |
| US9672352B2 (en) | Isolated program execution environment | |
| KR102113966B1 (ko) | 분석회피기법 우회 장치, 방법 및 이를 수행하기 위한 프로그램을 기록한 기록매체 | |
| CN113987470B (zh) | 可执行文件处理方法、装置、电子设备和计算机可读介质 | |
| CN113407434B (zh) | 调试文件的处理方法、装置 | |
| KR101976993B1 (ko) | 모바일 코드 자동 분석을 위한 동적 바이너리 계측 코드추출장치 및 그 방법 | |
| US10360353B2 (en) | Execution control of computer software instructions | |
| CN116614292A (zh) | 一种Webshell检测方法、装置、设备和存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20230110 Address after: Unit 102-402, No. 12, guanri Road, phase II, Xiamen Software Park, Fujian Province, 361000 Patentee after: XIAMEN MEIYA PICO INFORMATION Co.,Ltd. Patentee after: CHINA ELECTRONICS ENGINEERING DESIGN INSTITUTE Co.,Ltd. Address before: Unit 102-402, No. 12, guanri Road, phase II, Xiamen Software Park, Fujian Province, 361000 Patentee before: XIAMEN MEIYA PICO INFORMATION Co.,Ltd. |
|
| CP03 | Change of name, title or address | ||
| CP03 | Change of name, title or address |
Address after: Unit 102-402, No. 12 Guanri Road, Phase II, Software Park, Xiamen Torch High tech Zone, Xiamen, Fujian Province, 361000 Patentee after: Guotou Intelligent (Xiamen) Information Co.,Ltd. Country or region after: China Patentee after: CHINA ELECTRONICS ENGINEERING DESIGN INSTITUTE Co.,Ltd. Address before: Unit 102-402, No. 12, guanri Road, phase II, Xiamen Software Park, Fujian Province, 361000 Patentee before: XIAMEN MEIYA PICO INFORMATION Co.,Ltd. Country or region before: China Patentee before: CHINA ELECTRONICS ENGINEERING DESIGN INSTITUTE Co.,Ltd. |
|
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20240423 Address after: Unit 102-402, No. 12 Guanri Road, Phase II, Software Park, Xiamen Torch High tech Zone, Xiamen, Fujian Province, 361000 Patentee after: Guotou Intelligent (Xiamen) Information Co.,Ltd. Country or region after: China Address before: Unit 102-402, No. 12 Guanri Road, Phase II, Software Park, Xiamen Torch High tech Zone, Xiamen, Fujian Province, 361000 Patentee before: Guotou Intelligent (Xiamen) Information Co.,Ltd. Country or region before: China Patentee before: CHINA ELECTRONICS ENGINEERING DESIGN INSTITUTE Co.,Ltd. |