CN113867784A - 一种病毒程序逆向分析方法及装置 - Google Patents

一种病毒程序逆向分析方法及装置 Download PDF

Info

Publication number
CN113867784A
CN113867784A CN202010614088.1A CN202010614088A CN113867784A CN 113867784 A CN113867784 A CN 113867784A CN 202010614088 A CN202010614088 A CN 202010614088A CN 113867784 A CN113867784 A CN 113867784A
Authority
CN
China
Prior art keywords
module
assembly code
memory address
target assembly
file
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202010614088.1A
Other languages
English (en)
Inventor
周志刚
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Wuhan Douyu Network Technology Co Ltd
Original Assignee
Wuhan Douyu Network Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Wuhan Douyu Network Technology Co Ltd filed Critical Wuhan Douyu Network Technology Co Ltd
Priority to CN202010614088.1A priority Critical patent/CN113867784A/zh
Publication of CN113867784A publication Critical patent/CN113867784A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F8/00Arrangements for software engineering
    • G06F8/70Software maintenance or management
    • G06F8/74Reverse engineering; Extracting design information from source code
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/36Preventing errors by testing or debugging software
    • G06F11/362Software debugging
    • G06F11/3624Software debugging by performing operations on the source code, e.g. via a compiler
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/563Static detection by source code analysis

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Quality & Reliability (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了一种病毒程序逆向分析方法及装置,所述方法包括:对病毒程序进行逆向调试,确定病毒程序的核心数据所在的第一内存地址;基于函数VirtualProtect(),将第一内存地址设置为无效内存;逐条执行病毒程序的汇编代码,并基于VEH异常处理函数在发生操作异常时,获取目标汇编代码以及目标汇编代码的第二内存地址;基于第二内存地址,获取目标汇编代码所在模块的模块信息;将目标汇编代码以及目标汇编代码所在模块的模块信息保存至预设的模块文件中;基于函数VirtualProtect(),将第一内存地址设置为有效内存,并执行目标汇编指令;基于函数VirtualProtect(),将第一内存地址设置为无效内存,执行下一条病毒程序的汇编代码。本发明能够自动获取汇编代码以及模块信息,提高了分析效率。

Description

一种病毒程序逆向分析方法及装置
技术领域
本发明涉及计算机技术领域,尤其涉及一种病毒程序逆向分析方法及装置。
背景技术
当对病毒程序进行逆向分析调试时,病毒程序通常会对核心的数据进行解密,然后使用或者对数据进行加密上报。从而防止被分析清楚其中的原始数据。另外,病毒程序由于特殊性并不会采用传统的各种正规的加密算法来加解密数据,例如,AES(AdvancedEncryption Standard,高级加密标准)、DES(Data Encryption Standard,数据加密标准)等标准算法。其会将现有的加密算法进行改造后来进行加密,或者会采用自己编写的加密算法进行加密。从而使分析人员即使拿到秘钥在没有得到加密算法前也无法加、解密。
现有的逆向分析方案中是通过对所加密数据进行单步调试,并逐个指令拷贝到记事本或者其他文档上来记录所有的操作指令,而且还要记录所有模块等其他信息。目前方案虽能够进行病毒程序的逆向分析,但是无法实现自动记录,费时费力。
发明内容
鉴于上述问题,本发明提出了一种病毒程序逆向分析方法及装置,可实现程序逆向分析过程的自动控制化,能够自动获取汇编代码以及模块信息形成模块文件,无需人工进行拷贝操作,提高了分析效率。
第一方面,本申请通过本申请的一实施例提供如下技术方案:
一种病毒程序逆向分析方法,包括:
对病毒程序进行逆向调试,确定所述病毒程序的核心数据所在的第一内存地址;
基于函数VirtualProtect(address,size,PAGE_NOACCESS,&OldProtect),将所述第一内存地址设置为无效内存;其中,address为所述第一内存地址的内存起始地址,size为所述第一内存地址的大小;PAGE_NOACCESS用于设置所述第一内存地址不可访问;OldProtect为保存之前所述第一内存地址的属性;
逐条执行所述病毒程序的汇编代码,并基于VEH异常处理函数在发生操作异常时,获取目标汇编代码以及所述目标汇编代码的第二内存地址;其中,所述目标汇编代码为当前执行的汇编代码,所述第二内存地址为所述目标汇编代码的内存地址,所述目标汇编代码对所述第一内存地址进行访问时触发所述操作异常;
基于所述第二内存地址,获取所述目标汇编代码所在模块的模块信息;
将所述目标汇编代码以及所述目标汇编代码所在模块的模块信息保存至预设的模块文件中;
基于函数VirtualProtect(address,size,PAGE_READWRITE,&OldProtect),将所述第一内存地址设置为有效内存,并完成所述目标汇编指令的执行;其中,PAGE_READWRITE用于设置所述第一内存地址可访问;
基于函数VirtualProtect(address,size,PAGE_NOACCESS,&OldProtect),将所述第一内存地址设置为无效内存,以继续执行下一条所述病毒程序的汇编代码。
可选的,所述基于VEH异常处理函数在发生操作异常时,获取目标汇编代码以及所述目标汇编代码的第二内存地址,包括:
基于函数AddVectoredExceptionHandler(0,VectoredHandler),捕获所述目标汇编代码的操作异常,并获得所述目标汇编代码以及所述第二内存地址;其中,0表示优先处理所述操作异常,VectoredHandler用于获取所述第二内存地址;
所述模块信息包括模块名称;所述基于所述第二内存地址,获取所述目标汇编代码所在模块的模块信息,包括:
基于所述第二内存地址,并采用接口getModuleName()获取所述模块名称。
可选的,所述将所述目标汇编代码以及所述目标汇编代码所在模块的模块信息保存至预设的模块文件中之前,还包括:
将所述模块名称计算crc32hash,获得计算结果;
从所述计算结果中确定第一目标字节,并基于所述第一目标字节进行所述模块文件的文件名判断;所述第一目标字节为所述计算结果中的任一字节;
所述进行所述模块文件的文件名判断包括:判断所述模块文件中是否存在与所述第一目标字节相同的文件名;若是,则从所述计算结果中确定与所述第一目标字节不同的第二目标字节,并基于所述第二目标字节进行所述模块文件的文件名判断;
当所述计算结果中的单个字节被判断完成之后,从所述计算结果中确定第一组合字节;所述第一组合字节为所述所述计算结果中的任两个字节开始依次递增;并基于所述第二目标字节进行所述模块文件的文件名判断;
重复进行所述模块文件的文件名判断,直至获得无重复的字节;
将所述无重复的字节作为所述模块文件的文件名。
可选的,所述基于所述第二内存地址,并采用接口getModuleName()获取所述模块名称之前,还包括:
判断预设的静态变量是否被赋值;
若否,则对所述病毒程序的模块进行遍历,并将每个模块的模块名称、模块的起始地址、模块的结尾地址,赋值给所述静态变量;
所述基于所述第二内存地址,并采用接口getModuleName()获取所述模块名称,包括:
基于所述第二内存地址,并采用接口getModuleName()在所述静态变量中查询所述模块名称。
可选的,所述将每个模块的模块名称、模块的起始地址、模块的结尾地址,赋值给所述静态变量之后,还包括:
勾取病毒程序运行的系统中加载模块函数和卸载模块函数,以对所述病毒程序的模块加载或卸载进行监听;
当所述病毒程序的模块被加载或被卸载时,遍历所述病毒程序的模块并对所述静态变量重新赋值。
可选的,所述模块信息包括:模块偏移;所述基于所述第二内存地址,获取所述目标汇编代码所在模块的模块信息,包括:
基于所述第二内存地址与所述模块的起始地址的偏移量,获得所述目标汇编代码所在模块的模块偏移;
所述将所述目标汇编代码以及所述目标汇编代码所在模块的模块信息保存至预设的模块文件中,包括:
将所述目标汇编代码以及所述目标汇编代码所在模块的模块信息保存至中间文件;其中,所述中间文件为一临时文件;
基于所述目标汇编代码所在模块的模块偏移,判断所述模块信息是否完整;
基于所述目标汇编代码的格式,判断所述目标汇编代码的自身内容是否完整;
若所述模块信息与所述目标汇编代码的自身内容均完整,则将所述中间文件保存至预设的模块文件中。
第二方面,基于同一发明构思,本申请通过本申请的一实施例提供如下技术方案:
一种病毒程序逆向分析装置,包括:
确定模块,用于对病毒程序进行逆向调试,确定所述病毒程序的核心数据所在的第一内存地址;
第一设置模块,用于基于函数VirtualProtect(address,size,PAGE_NOACCESS,&OldProtect),将所述第一内存地址设置为无效内存;其中,address为所述第一内存地址的内存起始地址,size为所述第一内存地址的大小;PAGE_NOACCESS用于设置所述第一内存地址不可访问;OldProtect为保存之前所述第一内存地址的属性;
第一获取模块,用于逐条执行所述病毒程序的汇编代码,并基于VEH异常处理函数在发生操作异常时,获取目标汇编代码以及所述目标汇编代码的第二内存地址;其中,所述目标汇编代码为当前执行的汇编代码,所述第二内存地址为所述目标汇编代码的内存地址,所述目标汇编代码对所述第一内存地址进行访问时触发所述操作异常;
第二获取模块,用于基于所述第二内存地址,获取所述目标汇编代码所在模块的模块信息;
保存模块,用于将所述目标汇编代码以及所述目标汇编代码所在模块的模块信息保存至预设的模块文件中;
第二设置模块,用于基于函数VirtualProtect(address,size,PAGE_READWRITE,&OldProtect),将所述第一内存地址设置为有效内存,并完成所述目标汇编指令的执行;其中,PAGE_READWRITE用于设置所述第一内存地址可访问;
第三设置模块,用于基于函数VirtualProtect(address,size,PAGE_NOACCESS,&OldProtect),将所述第一内存地址设置为无效内存,以继续执行下一条所述病毒程序的汇编代码。
可选的,所述第一获取模块,还用于:
基于函数AddVectoredExceptionHandler(0,VectoredHandler),捕获所述目标汇编代码的操作异常,并获得所述目标汇编代码以及所述第二内存地址;其中,0表示优先处理所述操作异常,VectoredHandler用于获取所述第二内存地址;
所述模块信息包括模块名称;所述基于所述第二内存地址,获取所述目标汇编代码所在模块的模块信息,包括:
基于所述第二内存地址,并采用接口getModuleName()获取所述模块名称。
第三方面,基于同一发明构思,本申请通过本申请的一实施例提供如下技术方案:
一种病毒程序逆向分析装置,包括处理器和存储器,所述存储器耦接到所述处理器,所述存储器存储指令,当所述指令由所述处理器执行时使所述用户终端执行上述第一方面中任一项所述方法的步骤。
第四方面,基于同一发明构思,本申请通过本申请的一实施例提供如下技术方案:
一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述第一方面中任一项所述方法的步骤。
本发明实施例提供的一种病毒程序逆向分析方法及装置,通过对病毒程序进行逆向调试,确定病毒程序的核心数据所在的第一内存地址;然后,基于函数VirtualProtect(address,size,PAGE_NOACCESS,&OldProtect),将第一内存地址设置为无效内存,使得病毒程序的汇编代码访问第一内存地址中的核心数据时会发生操作异常。进一步的,逐条执行病毒程序的汇编代码,并基于VEH异常处理函数在发生操作异常时,获取目标汇编代码以及目标汇编代码的第二内存地址;目标汇编代码为当前执行的汇编代码,第二内存地址为目标汇编代码的内存地址,目标汇编代码对第一内存地址进行访问时触发操作异常;基于所述第二内存地址,获取目标汇编代码所在模块的模块信息;再进一步的,将目标汇编代码以及目标汇编代码所在模块的模块信息保存至预设的模块文件中,实现了对目标汇编代码的分析和存储;最后,基于函数VirtualProtect(address,size,PAGE_READWRITE,&OldProtect),将第一内存地址设置为有效内存,并完成目标汇编指令的执行。在完成目标汇编指令的执行后继续基于函数VirtualProtect(address,size,PAGE_NOACCESS,&OldProtect),将第一内存地址设置为无效内存,以继续执行下一条所述病毒程序的汇编代码,保证循环执行病毒程序的汇编指令,不断的触发操作异常并获取模块信息和汇编代码。本发明通过对核心数据所在的第一内存地址设置无效内存,并在触发操作异常时自动获取目标汇编代码及其模块信息,完成获取后将第一内存地址设置为有效,以使这一段目标汇编代码完成核心数据的访问。在重复设置第一内存地址无效,并执行下一段汇编代码,直至完成所有汇编代码的执行,整个分析过程实现了自动控制化,并且能够自动获取汇编代码以及模块信息形成模块文件,无需人工进行拷贝操作,提高了分析效率。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1示出了本发明第一实施例提供的一种病毒程序逆向分析方法的流程图;
图2示出了本发明第二实施例提供的一种病毒程序逆向分析装置的结构示意图。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
第一实施例
请参见图1,示出了一种病毒程序逆向分析方法的流程图。该方法的步骤如下:
步骤S10:对病毒程序进行逆向调试,确定病毒程序的核心数据所在的第一内存地址。
在步骤S10中,可以通过调试工具来调试分析病毒程序,找到对应的核心数据所在的第一内存地址。例如,病毒程序采集了用户的账号信息、密码信息,并会将这些数据进行加密上报到病毒程序的服务器中。那么账号信息、密码信息则为核心数据。可找到这些数据所在内存的第一内存地址和这些数据的数据长度。具体的,本实施例中可采用windbg(一种工具软件)、ollydbg(一种工具软件)等逆向调试工具,不作限制。
步骤S20:基于函数VirtualProtect(address,size,PAGE_NOACCESS,&OldProtect),将第一内存地址设置为无效内存;其中,address为第一内存地址的内存起始地址,size为第一内存地址的大小;PAGE_NOACCESS用于设置第一内存地址不可访问;OldProtect为保存之前第一内存地址的属性。
在现有的技术方案中,核心数据所在的内存均为正常有效的内存。在对病毒程序进行分析时,均是通过逆向分析工具单步执行汇编代码来分析对第一内存地址中的核心数据的操作。最后,记录下对应操作的汇编代码。这种方式无法实现自动化的处理,需要人工逐个操作执行,费时费力。
对此,在步骤S20中,采用系统函数VirtualProtect()来将上述核心数据所在的第一内存地址设置为无效内存,从而病毒程序的汇编代码对该段内存的数据进行读写时会触发操作异常。在触发异常的时候就能确定产生操作异常的汇编代码。进一步的执行步骤S30。
步骤S30:逐条执行病毒程序的汇编代码,并基于VEH异常处理函数在发生操作异常时,获取目标汇编代码以及目标汇编代码的第二内存地址;其中,目标汇编代码为当前执行的汇编代码,第二内存地址为目标汇编代码的内存地址,目标汇编代码对第一内存地址进行访问时触发所述操作异常。
在步骤S30中,发生操作异常时为当前执行的目标汇编代码对第一内存地址进行访问。例如,对核心数据进行加密、解密、复制、发送等操作。更具体的,通过VEH异常处理函数获取目标汇编代码的第二内存地址的具体方式可如下:
基于函数AddVectoredExceptionHandler(0,VectoredHandler),捕获目标汇编代码的操作异常,并获得第二内存地址;其中,函数AddVectoredExceptionHandler()中的第一个参数表示异常处理的顺序,0表示优先处理操作异常,函数VectoredHandler用于获取第二内存地址。具体的,通过ExceptionInfo->ExceptionRecord->ExceptionCode==STATUS_ACCESS_VIOLAT ION,可获得执行保护时的目标汇编代码;进一步的,通过ExceptionInfo->ExceptionRecord->ExceptionAddress,可确定操作异常发生时的第二内存地址,正对应于对第一内存地址操作的目标汇编代码。实现了目标汇编代码和第二内存地址的自动获取。
步骤S40:基于第二内存地址,获取目标汇编代码所在模块的模块信息。
在步骤S40中,模块信息可包括模块名称。模块信息的获取具体可通过接口函数string name=getModuleName(ExceptionAddress)进行模块名称的查询。但是,由于需要记录了对核心数据操作的每一条汇编代码。而在病毒程序中,其为了提高程序的复杂度,病毒程序可能会使用多个模块来对核心数据进行加、解密操作,从而提高数据操作的复杂度。因此,上述记录的汇编代码则可能属于不同的模块,为了便于后续的还原算法,需要知道每条汇编代码所属的模块。在本实施例中提功了一个次接口可以查询每一条汇编代码所属于的模块。具体实现如下:
String getModuleName(uint64_t address);其中,address是汇编代码所在的第二内存地址,返回值uint64_t则是这条汇编代码所在的模块名称。进一步的,上述接口虽能实现查询操作,但是查询此接口则会对每一条汇编代码均进行查询。这是一个很频繁的操作,将严重的影响执行系统性能,效率低。对此,本实施例中在步骤S40之前进行静态变量的定义。例如,通过Static map<string,moduleinfo>mapModule,定义一个静态变量mapModule来保存模块信息。在查询之前,可对静态变量进行判断,确认静态变量是否被赋值;例如,通过If(mapModule.empty())进行判断。若静态变量没有被赋值,则对病毒程序的模块进行遍历,并将每个模块的模块名称、模块的起始地址、模块的结尾地址,赋值给该静态变量。在查询模块名称的时候即可在该静态变量中进行查询,无需再次对模块进行遍历。只有当模块发生变化的时候才再次遍历模块对静态变量进行赋值。具体的:勾取病毒程序运行的系统中加载模块函数和卸载模块函数,以对病毒程序的模块加载或卸载进行监听;当病毒程序的模块被加载或被卸载时,遍历病毒程序的模块并对静态变量重新赋值。
举个例子:
HANDLE hSnapshot=CreateToolhelp32Snapshot(TH32CS_SNAPMODULE,0);获取模块快照信息,然后遍历快照中的所有模块。
BOOL bRet=Module32First(hSnapshot,&mi);
while(bRet){bRet=Module32Next(hSnapshot,&mi);
mi中则包含了模块的模块名称,模块在内存的起始地址和模块的大小。
mapModule[mi.szModule]=moduleinfo(mi.baseaddr,mi.baseaddr+mi.size);
其中,mi.szModule是模块的模块名称,mi.baseaddr是模块的起始地址,mi.baseaddr+mi.size则是模块的结尾地址。那么每条汇编代码的查询则是遍历静态变量mapModule的模块信息查看该条汇编代码的第二内存地址address,如果,address>mi.baseaddr并且address<mi.baseaddr+mi.size,则说明此地址属于mi.szModule模块。
在本实施例中,每条的汇编代码都会来查询此接口为了提高查询的效率,每次都遍历所有模块来得到模块信息会造成性能卡顿。为了保证静态变量mapModule的数据是准确的,本实施例中对系统的加载模块函数LoadLibrary和卸载模块函数FreeLibrary进行Hook,一旦有病毒程序的模块被加载或者被卸载,就重新遍历病毒程序的所有模块来对mapModule更新,保证静态变量中为最新的数据。
模块信息还包括:模块偏移。步骤S40包括:基于第二内存地址与模块的起始地址的偏移量,获得目标汇编代码所在模块的模块偏移。在病毒程序关闭或崩溃后,重新启动时第二内存地址将会重新加载其他的内存位置。此时,只有模块偏移时不变的,可通过模块偏移确定目标汇编代码是否已经被获取保存过。
步骤S50:将目标汇编代码以及目标汇编代码所在模块的模块信息保存至预设的模块文件中。
在步骤S50中,由于目标汇编代码为执行的汇编代码,病毒程序中的每条汇编代码均会执行。因此,会记录所有的对第一内存访问的汇编代码的相关信息。而对上述核心数据的操作可能所属于不同模块,也可能存在于不同的线程中。因此,本实施例中可设计一个总的文件目录,用于存储总的模块信息的存储文件信息。每个模块对核心数据的操作都属于各个模块,因此需要将各个模块的汇编代码存放到一起。总的目录文件则存储各个模块的文件信息。在本实施例中,模块文件即为用于存储各个模块的文件信息。
每个模块是独立的,并都可能对核心数据进行加、解密操作,而一个模块中的汇编代码是一个整体。在编写程序时,是以一个函数为单元的,不会以一条汇编代码为单元。因此,为了每个模块的汇编代码能够进行区分,可将每个模块的汇编代码保存到每个模块对应的独立的模块文件中,从而使汇编代码便于阅读。进一步的,考虑到病毒程序中每个模块的名称是独一无二的,同时由于模块名称长度不一样,且模块的数量是有限的。本实施例中,可采用哈希算法来确定一个整数用于进行模块文件的命名。在较优的一种实现方式中,采用对模块名称计算crc32hash(cyclic redundancy check 32hash,循环冗余校验哈希)来得到一个计算结果,该计算结果为整数,使用这个整数来命名模块文件。
其中,使用crc32hash的目的是:该算法相比于md5等其他hash算法速度更快,同时可获得的结果是一个4字节的整数,而md5等其他算法则是一个16字节以上的数字。采用crc32hash会提高查找速度,而且占用的字节数据更少。同时,本文模块名称有限不易于产生hash碰撞。那么每个模块保存汇编代码的模块文件的名称为Filename=crc32hash(modleName)。而为了进一步提高查找速度,降低了占据内存的大小,我们可以将crc32hash的结果选取第一个字节,并且提前对所有模块预先计算所有模块名称的crc32hash值,查看是否存在有2个不同的模块名称。在计算结果选取的对应字节如果没有重复的则直接选取当前确定的字节。如果存在重复则尝试选取第二个字节,如果没有重复则以第二个字节为准。以此类推,选取第三个字节,第四个字节。如果选取任何一个字节都存在重复的情况,那么我们就选取2个字节,比如选取第一个和第二个字节作为最终的结果,再次使用上述判断过程。以此类推,如果都有重复就选取3个字节,4个字节。
具体的,将所述模块名称计算crc32hash,获得计算结果;从计算结果中确定第一目标字节,并基于第一目标字节进行模块文件的文件名判断;第一目标字节为计算结果中的任一字节;进行所述模块文件的文件名判断包括:判断模块文件中是否存在与第一目标字节相同的文件名;若是,则从计算结果中确定与第一目标字节不同的第二目标字节,并基于第二目标字节进行模块文件的文件名判断;当计算结果中的单个字节被判断完成之后,从计算结果中确定第一组合字节;第一组合字节为所述计算结果中的任两个字节开始依次递增;并基于第二目标字节进行模块文件的文件名判断;重复进行模块文件的文件名判断,直至获得无重复的字节;将无重复的字节作为模块文件的文件名。
这样就进一步提高查找速度,降低了占据内存的大小。
进一步的,为了对模块名称进行更好的区分和识别,本实施例中可对模块名称计算crc32hash后获得的数据进行平方后的值作为模块文件的名称。
对文件内容的存储格式,本实施例中的每一条汇编代码可按照模块文件的一行进行存储,多个汇编代码组成一个函数,每个函数都有函数头和函数尾。
每一行中首先存储的是这条目标汇编代码在所属模块的模块偏移,即该目标汇编代码在模块中的相对地址,具体公式算法则为:目标汇编代码的模块偏移=汇编代码在内存的地址-模块在内存的起始地址。
由于编译器在编译函数时,每个函数头都是对当前函数的堆栈进行操作,函数尾部则是对堆栈进行还原,所以可以分析出每一条汇编代码是不是函数头和函数尾。如果是函数尾部,我们则写入只有函数长度的信息,下一个函数的汇编代码则在新的行号开始,从而将每个函数分隔开来,以便于阅读。模块文件内容的一行如下:
INT,中断指令,为特定汇编指令。用于标记本文件是一个汇编代码的存储文件。因为正常的汇编代码中不会存在有INT指令,所以每个存储汇编指令的文件开头都以INT来标记文件。主要是防止用户或者其他程序的文件改动了模块文件从而不是一个汇编代码文件。
Modulename,模块名称。一个作用是防止目录文件丢失时可以通过此名称来重建目录文件,同时也可以知道此文件是哪个模块的汇编指令。
Offset time,Offset为目标汇编代码的模块偏移,每个函数以第一条汇编指令的内存偏移作为开头,并且以offset命名此函数。time字段为此目标汇编代码的时刻,从而可以基于时间来对函数的操作顺序排序。
Offset code asm,Offset为目标汇编代码的模块偏移,code为目标汇编代码的机器码,asm为可以阅读的目标汇编代码。由于汇编代码是一些列的16进制,如果需要人可以阅读则需要将其解码出可以阅读的汇编代码asm。具体的,可通过使用汇编引擎来将code翻译成asm代码。
Num Len,Num为指令条数。Len=最后一条指令偏移-开头第一条指令的偏移+最后一条指令的长度,每个函数尾部则存储了此函数的指令条数和内存总大小。
由于每个模块每次加载到内存中的偏移是不一样的,所以只能存储相对偏移。从而程序下次启动的时候,有可能模块加载到内存的地址不一样,从而每条汇编代码的绝对内存地址是不一样的,所以使用汇编代码在模块内的模块偏移则可以保证每次的模块偏移都是一样的。如果程序崩溃,我们每次都会读取此文件,并读取每条汇编代码对应的信息,从而避免写入重复的数据到文件中。通过内存地址则和模块偏移可以区分某一条汇编代码对应的数据内容是否已经写入文件了。
由于病毒程序随时可能崩溃,如果我们写文件则可能会造成写入一半的时候程序崩溃导致程序的数据有问题。本实施例中提供一解决方式:在将所述目标汇编代码以及目标汇编代码所在模块的模块信息保存至预设的模块文件中之前,还包括:将目标汇编代码以及目标汇编代码所在模块的模块信息保存至中间文件;中间文件为一临时文件;基于目标汇编代码所在模块的模块偏移,判断模块信息是否完整;基于目标汇编代码的格式,判断目标汇编代码的自身内容是否完整;若模块信息与目标汇编代码的自身内容均完整,则将中间文件保存至预设的模块文件中。
举个例子,每次写入文件时可先写入临时文件,临时文件的名称需要和正式文件的名称一样。可多加一个temp做为文件尾来表示是临时文件,同时临时文件读取后通过计算汇编代码的模块偏移来判断每条数据是否完整。同时,通过对汇编代码的格式判断汇编代码是否是完整。最终验证临时文件的内容是否是完整的。那么写入的时候写入temp文件,即临时文件。当temp文件是完整的时候,则替换正式文件,即将临时文件保存至正式的模块文件。因为temp是写入文件,所以其内容是最新的。这样可以编码病毒程序崩溃后出现分析数据的丢失。在下一次启动病毒程序时可以接着进行分析。
步骤S60:基于函数VirtualProtect(address,size,PAGE_READWRITE,&OldProtect),将第一内存地址设置为有效内存,并完成目标汇编指令的执行;其中,PAGE_READWRITE用于设置第一内存地址可访问。
通过步骤S60保证第一内存地址可访问,可使得目标汇编指令完成执行。
步骤S70:基于函数VirtualProtect(address,size,PAGE_NOACCESS,&OldProtect),将第一内存地址设置为无效内存,以继续执行下一条病毒程序的汇编代码。
在步骤S70中,执行下一条汇编代码即重复进行步骤S30-S70,直至完成病毒程序中所有汇编代码的执行,实现了每条汇编代码以及对应的模块信息的自动化获取,无需人工进行拷贝操作,提高效率。
此时,在重复执行步骤S30-S70过程中,可每完成一个模块对应的模块文件时,就将该模块文件保存至总目录下,直至将所有模块的模块文件保存到总目录下。以便于查询对应的文件,以及总的管理各个模块的汇编代码问题。同时也可以起到对各个文件进行一次是否破坏的校验,并且会将损坏的文件删除掉。同样的由于是写入文件,在病毒程序发生崩溃时可能会造成文件损坏。因此,此处需要对总目录文件使用备份策略。如下:
同样的,总目录文件包含两个文件。一个为正式文件,一个为临时文件。写数据时首先写入临时文件,写完一个模块对应的临时文件后,将临时文件保存为正式文件,存放在总目录文件下。总目录文件和每个模块的汇编代码对应的模块文件都在一个目录下。
其中总目录文件的格式如下:
INTO,为溢出中断指令。此指令则也是不会在正常的汇编代码中出现,此次用于标记是一个总目录文件。
接下来则是记录每个模块的模块文件的名称和文件大小。
FileName size moduleName;其中,FileName为模块文件的名称,size则是模块文件的文件大小,moduleName为对应模块的模块名称。
每一个模块的模块文件都在此总目录文件中有一个条目来存储文件的信息。
同时,记录下各个模块对核心数据的操作,每次操作只记录模块的名称,从而文件中最终会有一个模块的操作序列。进一步的,可基于每个模块中的函数后面的时间,排序出所有模块对核心数据操作顺序,从而可以得到一个完整的对核心数据操作的函数操作序列。在启动病毒程序时则会读取这个文件,避免重复分析;而在病毒程序结束时创建此文件,提高浏览和查找的效率。
具体实现如下:
其中,定义struct Info{size_t size;string moduleName}来包含数据信息;采用一个list来存储所有的info信息,具体的,list<Info>IList;。
hashMap<std::string,IList::iterator>IMap;表示使用一个hashmap来存储文件和信息的映射关系。其中,std::string则是键值,用于查找,对应于上述模块文件的名称FileName;IList::iterator是list中对应info信息的迭代器。
上述总目录文件的结构既可以方便我们快速的对list中的info进行增加删除操作,同时在查找的时候使用hashmap来配合查找则可以极大提高查找速度。
List<string>FList;其中,List应用于记录各个模块对核心数据的操作序列,从而可以知道那个模块对核心数据操作了几次,以及每个模块的操作顺序。此链表在进行存储模块名称时,只会记录模块切换时候的记录。因为同一个模块的大量汇编代码都会操作数据。例如,模块A操作了10次,我们只记录模块A一次;当模块B开始操作核心数据时,我们再记录模块B,从而只记录模块切换时的记录。
进一步的,在病毒程序执行的时候,其对应的汇编代码会查找模块信息并写入对应的模块文件中。那么正常情况下,汇编代码执行是顺序连续的,所以如果一条汇编代码是在一个模块中执行的。那么后续大部分的汇编代码都在此模块中,直到最后一条汇编代码完成,则会切换到其他模块。因此在写入时,可设计写入第一条汇编代码时,将该汇编代码对应的模块文件从IList中的位置调整到IList的最前面,从而下一条汇编指令写入时则直接在IList头中从而可以极大的提高写入数据的速度。
本实施例中可采用一个接口get来供写入汇编代码时的查询info操作。具体的为Info get(const std::string&key)。
IListMap::Iterator it=lMap.find(key);先通过lMap来查找。
if(it!=lMap.end()){如果查找到了
Info=*(it->second);读取info信息保存到info变量中。
lList.erase(it->second);同时从Ilist中将其删除掉。
lList.push_front(Info);由于info是刚刚被访问的,所以极大可能后续的汇编代码还要进行访问,因此我们把其放到IList的最前端,提高访问速度。
it->second=lList.begin();并更新IMap中的键值变量。
return Info;返回查找到的info数据。
在病毒程序初始化的时候,也会读取这个总目录文件。首先读取文件头的特定汇编代码来判断文件是否是有效的如果无效则后续通过汇编代码的模块文件来重建这个总目录文件,来读取其中的每一条条目的信息。并去判断每一个存储汇编代码的模块文件是否存在,并且通过存储的size大小信息去校验存储汇编代码的文件大小是否一致,如果不一致说明文件损坏了,则会丢失改文件,后续进行重建。
如果目录文件不存在,我们则会重新创建一个总目录文件,而总目录文件的内容,则是读取同目录下所有的模块文件来构建,所有的模块文件都有文件名称,文件大小,模块名称,那么读取完成所有的模块文件后则可以重建出总目录文件。
本实施例提供的一种病毒程序逆向分析方法,通过对病毒程序进行逆向调试,确定病毒程序的核心数据所在的第一内存地址;然后,基于函数VirtualProtect(address,size,PAGE_NOACCESS,&OldProtect),将第一内存地址设置为无效内存,使得病毒程序的汇编代码访问第一内存地址中的核心数据时会发生操作异常。进一步的,逐条执行病毒程序的汇编代码,并基于VEH异常处理函数在发生操作异常时,获取目标汇编代码以及目标汇编代码的第二内存地址;目标汇编代码为当前执行的汇编代码,第二内存地址为目标汇编代码的内存地址,目标汇编代码对第一内存地址进行访问时触发操作异常;基于所述第二内存地址,获取目标汇编代码所在模块的模块信息;再进一步的,将目标汇编代码以及目标汇编代码所在模块的模块信息保存至预设的模块文件中,实现了对目标汇编代码的分析和存储;最后,基于函数VirtualProtect(address,size,PAGE_READWRITE,&OldProtect),将第一内存地址设置为有效内存,并完成目标汇编指令的执行。在完成目标汇编指令的执行后继续基于函数VirtualProtect(address,size,PAGE_NOACCESS,&OldProtect),将第一内存地址设置为无效内存,以继续执行下一条所述病毒程序的汇编代码,保证循环执行病毒程序的汇编指令,不断的触发操作异常并获取模块信息和汇编代码。本实施例方法通过对核心数据所在的第一内存地址设置无效内存,并在触发操作异常时自动获取目标汇编代码及其模块信息,完成获取后将第一内存地址设置为有效,以使这一段目标汇编代码完成核心数据的访问。在重复设置第一内存地址无效,并执行下一段汇编代码,直至完成所有汇编代码的执行,整个分析过程实现了自动控制化,并且能够自动获取汇编代码以及模块信息形成模块文件,无需人工进行拷贝操作,提高了分析效率。
第二实施例
请参阅图2,基于同一发明构思,本发明第二实施例提供了一种病毒程序逆向分析装置300。所述病毒程序逆向分析装置300包括:
确定模块301,用于对病毒程序进行逆向调试,确定所述病毒程序的核心数据所在的第一内存地址;
第一设置模块302,用于基于函数VirtualProtect(address,size,PAGE_NOACCESS,&OldProtect),将所述第一内存地址设置为无效内存;其中,address为所述第一内存地址的内存起始地址,size为所述第一内存地址的大小;PAGE_NOACCESS用于设置所述第一内存地址不可访问;OldProtect为保存之前所述第一内存地址的属性;
第一获取模块303,用于逐条执行所述病毒程序的汇编代码,并基于VEH异常处理函数在发生操作异常时,获取目标汇编代码以及所述目标汇编代码的第二内存地址;其中,所述目标汇编代码为当前执行的汇编代码,所述第二内存地址为所述目标汇编代码的内存地址,所述目标汇编代码对所述第一内存地址进行访问时触发所述操作异常;
第二获取模块304,用于基于所述第二内存地址,获取所述目标汇编代码所在模块的模块信息;
保存模块305,用于将所述目标汇编代码以及所述目标汇编代码所在模块的模块信息保存至预设的模块文件中;
第二设置模块306,用于基于函数VirtualProtect(address,size,PAGE_READWRITE,&OldProtect),将所述第一内存地址设置为有效内存,并完成所述目标汇编指令的执行;其中,PAGE_READWRITE用于设置所述第一内存地址可访问;
第三设置模块307,用于基于函数VirtualProtect(address,size,PAGE_NOACCESS,&OldProtect),将所述第一内存地址设置为无效内存,以继续执行下一条所述病毒程序的汇编代码。
作为一种可选的实施方式,所述第一获取模块303,还用于:
基于函数AddVectoredExceptionHandler(0,VectoredHandler),捕获所述目标汇编代码的操作异常,并获得所述目标汇编代码以及所述第二内存地址;其中,0表示优先处理所述操作异常,VectoredHandler用于获取所述第二内存地址;
所述模块信息包括模块名称;所述基于所述第二内存地址,获取所述目标汇编代码所在模块的模块信息,包括:
基于所述第二内存地址,并采用接口getModuleName()获取所述模块名称。
需要说明的是,本发明实施例所提供的一种病毒程序逆向分析装置300,其具体实现及产生的技术效果和前述方法实施例相同,为简要描述,装置实施例部分未提及之处,可参考前述方法实施例中相应内容。
第三实施例
基于同一发明构思,本发明第三实施例提供了一种病毒程序逆向分析装置。所述病毒程序逆向分析装置包括:处理器和存储器,所述存储器耦接到所述处理器,所述存储器存储指令,当所述指令由所述处理器执行时使所述用户终端执行上述第一实施例中任一方法的步骤。
本发明实施例所提供的一种病毒程序逆向分析装置,其具体实现及产生的技术效果和前述方法实施例相同,为简要描述,装置实施例部分未提及之处,可参考前述方法实施例中相应内容。
本发明提供的装置集成的功能模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明实现上述实施例的方法中的全部或部分流程,也可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一计算机可读存储介质中,该计算机程序在被处理器执行时,可实现上述各个方法实施例的步骤。其中,所述计算机程序包括计算机程序代码,所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质可以包括:能够携带所述计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、电载波信号、电信信号以及软件分发介质等。需要说明的是,所述计算机可读介质包含的内容可以根据司法管辖区内立法和专利实践的要求进行适当的增减,例如在某些司法管辖区,根据立法和专利实践,计算机可读介质不包括电载波信号和电信信号。
在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述,构造这类系统所要求的结构是显而易见的。此外,本发明也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本公开并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。
本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
此外,本领域的技术人员能够理解,尽管在此的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在下面的权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
本发明的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的装置中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。
应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。

Claims (10)

1.一种病毒程序逆向分析方法,其特征在于,包括:
对病毒程序进行逆向调试,确定所述病毒程序的核心数据所在的第一内存地址;
基于函数VirtualProtect(address,size,PAGE_NOACCESS,&OldProtect),将所述第一内存地址设置为无效内存;其中,address为所述第一内存地址的内存起始地址,size为所述第一内存地址的大小;PAGE_NOACCESS用于设置所述第一内存地址不可访问;OldProtect为保存之前所述第一内存地址的属性;
逐条执行所述病毒程序的汇编代码,并基于VEH异常处理函数在发生操作异常时,获取目标汇编代码以及所述目标汇编代码的第二内存地址;其中,所述目标汇编代码为当前执行的汇编代码,所述第二内存地址为所述目标汇编代码的内存地址,所述目标汇编代码对所述第一内存地址进行访问时触发所述操作异常;
基于所述第二内存地址,获取所述目标汇编代码所在模块的模块信息;
将所述目标汇编代码以及所述目标汇编代码所在模块的模块信息保存至预设的模块文件中;
基于函数VirtualProtect(address,size,PAGE_READWRITE,&OldProtect),将所述第一内存地址设置为有效内存,并完成所述目标汇编指令的执行;其中,PAGE_READWRITE用于设置所述第一内存地址可访问;
基于函数VirtualProtect(address,size,PAGE_NOACCESS,&OldProtect),将所述第一内存地址设置为无效内存,以继续执行下一条所述病毒程序的汇编代码。
2.根据权利要求1所述的方法,其特征在于,所述基于VEH异常处理函数在发生操作异常时,获取目标汇编代码以及所述目标汇编代码的第二内存地址,包括:
基于函数AddVectoredExceptionHandler(0,VectoredHandler),捕获所述目标汇编代码的操作异常,并获得所述目标汇编代码以及所述第二内存地址;其中,0表示优先处理所述操作异常,VectoredHandler用于获取所述第二内存地址;
所述模块信息包括模块名称;所述基于所述第二内存地址,获取所述目标汇编代码所在模块的模块信息,包括:
基于所述第二内存地址,并采用接口getModuleName()获取所述模块名称。
3.根据权利要求2所述的方法,其特征在于,所述将所述目标汇编代码以及所述目标汇编代码所在模块的模块信息保存至预设的模块文件中之前,还包括:
将所述模块名称计算crc32hash,获得计算结果;
从所述计算结果中确定第一目标字节,并基于所述第一目标字节进行所述模块文件的文件名判断;所述第一目标字节为所述计算结果中的任一字节;
所述进行所述模块文件的文件名判断包括:判断所述模块文件中是否存在与所述第一目标字节相同的文件名;若是,则从所述计算结果中确定与所述第一目标字节不同的第二目标字节,并基于所述第二目标字节进行所述模块文件的文件名判断;
当所述计算结果中的单个字节被判断完成之后,从所述计算结果中确定第一组合字节;所述第一组合字节为所述所述计算结果中的任两个字节开始依次递增;并基于所述第二目标字节进行所述模块文件的文件名判断;
重复进行所述模块文件的文件名判断,直至获得无重复的字节;
将所述无重复的字节作为所述模块文件的文件名。
4.根据权利要求2所述的方法,其特征在于,所述基于所述第二内存地址,并采用接口getModuleName()获取所述模块名称之前,还包括:
判断预设的静态变量是否被赋值;
若否,则对所述病毒程序的模块进行遍历,并将每个模块的模块名称、模块的起始地址、模块的结尾地址,赋值给所述静态变量;
所述基于所述第二内存地址,并采用接口getModuleName()获取所述模块名称,包括:
基于所述第二内存地址,并采用接口getModuleName()在所述静态变量中查询所述模块名称。
5.根据权利要求4所述的方法,其特征在于,所述将每个模块的模块名称、模块的起始地址、模块的结尾地址,赋值给所述静态变量之后,还包括:
勾取病毒程序运行的系统中加载模块函数和卸载模块函数,以对所述病毒程序的模块加载或卸载进行监听;
当所述病毒程序的模块被加载或被卸载时,遍历所述病毒程序的模块并对所述静态变量重新赋值。
6.根据权利要求1所述的方法,其特征在于,所述模块信息包括:模块偏移;所述基于所述第二内存地址,获取所述目标汇编代码所在模块的模块信息,包括:
基于所述第二内存地址与所述模块的起始地址的偏移量,获得所述目标汇编代码所在模块的模块偏移;
所述将所述目标汇编代码以及所述目标汇编代码所在模块的模块信息保存至预设的模块文件中,包括:
将所述目标汇编代码以及所述目标汇编代码所在模块的模块信息保存至中间文件;其中,所述中间文件为一临时文件;
基于所述目标汇编代码所在模块的模块偏移,判断所述模块信息是否完整;
基于所述目标汇编代码的格式,判断所述目标汇编代码的自身内容是否完整;
若所述模块信息与所述目标汇编代码的自身内容均完整,则将所述中间文件保存至预设的模块文件中。
7.一种病毒程序逆向分析装置,其特征在于,包括:
确定模块,用于对病毒程序进行逆向调试,确定所述病毒程序的核心数据所在的第一内存地址;
第一设置模块,用于基于函数VirtualProtect(address,size,PAGE_NOACCESS,&OldProtect),将所述第一内存地址设置为无效内存;其中,address为所述第一内存地址的内存起始地址,size为所述第一内存地址的大小;PAGE_NOACCESS用于设置所述第一内存地址不可访问;OldProtect为保存之前所述第一内存地址的属性;
第一获取模块,用于逐条执行所述病毒程序的汇编代码,并基于VEH异常处理函数在发生操作异常时,获取目标汇编代码以及所述目标汇编代码的第二内存地址;其中,所述目标汇编代码为当前执行的汇编代码,所述第二内存地址为所述目标汇编代码的内存地址,所述目标汇编代码对所述第一内存地址进行访问时触发所述操作异常;
第二获取模块,用于基于所述第二内存地址,获取所述目标汇编代码所在模块的模块信息;
保存模块,用于将所述目标汇编代码以及所述目标汇编代码所在模块的模块信息保存至预设的模块文件中;
第二设置模块,用于基于函数VirtualProtect(address,size,PAGE_READWRITE,&OldProtect),将所述第一内存地址设置为有效内存,并完成所述目标汇编指令的执行;其中,PAGE_READWRITE用于设置所述第一内存地址可访问;
第三设置模块,用于基于函数VirtualProtect(address,size,PAGE_NOACCESS,&OldProtect),将所述第一内存地址设置为无效内存,以继续执行下一条所述病毒程序的汇编代码。
8.根据权利要求7所述的装置,其特征在于,所述第一获取模块,还用于:
基于函数AddVectoredExceptionHandler(0,VectoredHandler),捕获所述目标汇编代码的操作异常,并获得所述目标汇编代码以及所述第二内存地址;其中,0表示优先处理所述操作异常,VectoredHandler用于获取所述第二内存地址;
所述模块信息包括模块名称;所述基于所述第二内存地址,获取所述目标汇编代码所在模块的模块信息,包括:
基于所述第二内存地址,并采用接口getModuleName()获取所述模块名称。
9.一种病毒程序逆向分析装置,其特征在于,包括处理器和存储器,所述存储器耦接到所述处理器,所述存储器存储指令,当所述指令由所述处理器执行时使所述用户终端执行权利要求1-6中任一项所述方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现权利要求1-6中任一项所述方法的步骤。
CN202010614088.1A 2020-06-30 2020-06-30 一种病毒程序逆向分析方法及装置 Pending CN113867784A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010614088.1A CN113867784A (zh) 2020-06-30 2020-06-30 一种病毒程序逆向分析方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010614088.1A CN113867784A (zh) 2020-06-30 2020-06-30 一种病毒程序逆向分析方法及装置

Publications (1)

Publication Number Publication Date
CN113867784A true CN113867784A (zh) 2021-12-31

Family

ID=78981371

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010614088.1A Pending CN113867784A (zh) 2020-06-30 2020-06-30 一种病毒程序逆向分析方法及装置

Country Status (1)

Country Link
CN (1) CN113867784A (zh)

Similar Documents

Publication Publication Date Title
US6542167B1 (en) System and method for flexible software linking
JP2664137B2 (ja) Icカード
US8612722B2 (en) Determining an end of valid log in a log of write records
RU2565109C2 (ru) Способ и устройство для восстановления резервной базы данных
US20170103002A1 (en) Cyclic commit transaction protocol
US8732681B2 (en) Stack analysis for post mortem analysis
US9286320B2 (en) System and method for maintaining consistency among metadata elements of filesystem&#39;s logical objects
US10114576B2 (en) Storage device metadata synchronization
CN113553010A (zh) 一种光盘文件校验方法、光盘刻录方法及计算设备
WO2021169163A1 (zh) 一种文件数据存取方法、装置和计算机可读存储介质
US20180364304A1 (en) Stimulus generation for component-level verification
US20130185602A1 (en) Heap dump occurrence detection
KR100637787B1 (ko) 파일 정보의 기록 처리 방법 및 프로그램
CN106909514B (zh) 一种快照盘地址的定位方法及装置
US20120144136A1 (en) Restoration of data from a backup storage volume
CN113867784A (zh) 一种病毒程序逆向分析方法及装置
WO2023169164A1 (zh) 应用程序的修复方法、装置、计算机设备以及存储介质
US8935200B2 (en) Dynamic database dump
US11256602B2 (en) Source code file retrieval
CN111309526A (zh) 文件备份、恢复方法及其装置
JP6999679B2 (ja) データ消去方法および装置
Yuan et al. Comprehensive evaluation of file systems robustness with SPIN model checking
US20230195713A1 (en) Data objects in a distributed file system
CN111796972B (zh) 文件热修复方法、装置、设备及存储介质
CN117931608B (zh) 一种在vmcore中统计文件缓存占用的方法及装置、存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination