TW201128383A - Portable executable file analysis - Google Patents
Portable executable file analysis Download PDFInfo
- Publication number
- TW201128383A TW201128383A TW099125053A TW99125053A TW201128383A TW 201128383 A TW201128383 A TW 201128383A TW 099125053 A TW099125053 A TW 099125053A TW 99125053 A TW99125053 A TW 99125053A TW 201128383 A TW201128383 A TW 201128383A
- Authority
- TW
- Taiwan
- Prior art keywords
- field
- valid
- parsed
- block
- attribute
- Prior art date
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F8/00—Arrangements for software engineering
- G06F8/70—Software maintenance or management
- G06F8/74—Reverse engineering; Extracting design information from source code
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/0706—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
- G06F11/0715—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in a system implementing multitasking
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/0706—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
- G06F11/0721—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment within a central processing unit [CPU]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/0751—Error or fault detection not based on redundancy
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/0793—Remedial or corrective actions
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/36—Preventing errors by testing or debugging software
- G06F11/362—Software debugging
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F8/00—Arrangements for software engineering
- G06F8/60—Software deployment
- G06F8/65—Updates
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Quality & Reliability (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Stored Programmes (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Devices For Executing Special Programs (AREA)
- Input Circuits Of Receivers And Coupling Of Receivers And Audio Equipment (AREA)
- Two-Way Televisions, Distribution Of Moving Picture Or The Like (AREA)
Description
201128383 s 六、發明說明: 【發明所屬之技術領域】 本申請案概言之係關於反向工程化軟體(reverse engineering software ),更具體而言,係關於解碼軟體及對軟體檔之有效性分 析。 【先前技術】
Microsoft公司在「Microsoft攜帶式可執行樓及通用目標樓格式 規範(Microsoft Portable Executable and Common Object File Format Specification)」中所定義之攜帶式可執行樓格式(PE樓格 式)係為一種用於可執行碼、目標碼及DLL(動態鏈接庫(dynamic link libraries ))之標案格式。PE 樓係用於 Microsoft Windows 作業 系統之32位元版本及64位元版本。PE檔格式係為一種非常通用 之格式,可用於諸多作業系統環境中並支援各種處理器解決方案。 軟體開發者可利用各種方案來保護軟體,包括PE檔。舉例而 言,可利用軟體編碼器(packer )來壓縮二進制資料,此可減小與 傳送二進制資料相關聯之頻寬使用量以及儲存量。類似地,可利 用編碼器來保護收錄於軟體内之智慧財產成防止代碼盜竊。編碼 可涉及各種可使可執行碼之内容模糊難辨之壓縮及/或加密方案。 運行經壓縮之可執行檔可將原始可執行碼解碼(例如,其可包括 解壓縮及/或解密)並接著傳送控制訊息至原始可執行碼。因此, 直到實際執行軟體I時方知可執行碼之性質。舉例而言,若可執行 碼係為惡意軟體(malware)或其他非所欲之軟體,則此可造成問 題,乃因得知此種軟體之性質時為時已晚。 201128383 、 【發明内容】 根據一第一實施方式,一種由電腦執行之方法包含··由一計算 裝置剖析一攜帶式可執行檔之一二進制影像,以產生一已剖析攔 位(parsed field ),以及由該計算裝置確定該已剖析欄位之一屬性。 該方法亦包含:由該計算裝置至少部分地根據一攜帶式可執行檔 格式規範(portable executable file format specification ),將該已剖 析欄位之該屬性與一有效對應襴位之一有效特性相比較。該方法 更包含:由該計算裝置判斷該已剖析襴位之該屬性是否與該有效 對應欄位之該有效特性相符。 亦可包含以下特徵其中之一或多者。該已剖析欄位可包含以下 至少其中之一:一攜帶式可執行格式簽名(portable executable format signature)、一映像基底(ImageBase)欄位、一映像尺寸 (SizeOflmage)欄位、一標案校準(FileAlignment)欄位、一區 段校準(SectionAlignment)欄位、一入口點(EntryPoint)位址、 一導入表(import table)、一導入位址表(import address table)、 一導出表(export table )、一重定位表(relocation table )、一資源 表(resource table)、一執行緒本地儲存表(thread local storage table)、一加載配置表(load configuration table)、一邊界導入表 (bound import table )、一連接埠(COM )表' 以及一攜帶式4執 行部分表(portable executable section table)。該已剖析欄位之該 屬性可包括一欄位辨識符、一欄位長度以及一欄位内容至少其中 之一。 判斷該已剖析欄位之該屬性是否與該有效對應欄位之該有效特 201128383 性相符之步驟可包含:由該計曾事 , 對於-預定作業系歧否有效該已剖析欄位之該屬性 效對應糊位之該有效特性不符^ 該已剖析欄位是否與該有 位之該有效特性m則可確定對彡⑽㈣位與财效對應攔 性不符之該已剖析攔位進行修③%θ有效制攔位之該有效特 而產生一有效襴位之一可能性。 该方法亦可包含:由該計算筆蓄、. 進制影像是否包含一動態鏈接庫(:斷該攜帶式可執行檔之該二 埯動程式(kernel driver)或一可 dynamiC 趾 Ubrary)、一核心 竹對象(executable object )。 根據另一實施方式,一種電腦程 令之電腦可讀取記錄媒體。該等4t ^產品包含—儲存有複數個指 處理器執行包含以下之操作:剖n處理器執行時,使該 影像,以產生一已剖析櫚位,:ι帶式可執行檔之-二進制 至少部分地根據-攜帶式可執行=定該已剖㈣位之一屬性。 讀屬性與-有效對應襴位之規範,將該已剖析欄位之 ^ ^ ^ S θ -X- t + 攻特性相比較。判斷該已剖析攔 位之該屬性是否與該有效對應襴 <該有效特性相符。 可包含以下特徵其中之一或多者 小U °該已剖析欄位可包含以下至 夕其中之一:一攜帶式可執行格式簽 、XJT 石(portable executable format signature )、一映像基底(ImageBase )欄位、一映像尺寸 (SizeOflmage)攔位、一檔案校準(FileAlignment)欄位、一區 丰又校準(SectionAlignment)攔位、一入口點(EntryPo丨nt)位址、 〜導入表(export table)、一導入位址表(import address table)、 〜導出表(export table )、一重定位表(relocation table )、一資源 表(resource table)、一執行緒本地儲存表(thread l〇cal storage 201128383 table)加載配置表(load configuration table)、一邊界導入表 (bound rniport table)連接埠(c〇M)表以及一搞帶式可執 行。P 刀表(portable executable secti〇n table)。該已剖析棚位之該 屬性可包括-欄位辨識符、一攔位長度、及一攔位内容至少其中 之一。 判斷該已剖析攔位之該屬性是否與該有效對應欄位之該有效特 性相=㈣可包含:麟該已韻齡之該屬性對於—預定作 …二、、、θ可n玄已剖析欄位是否與該有效對應搁位之 該有效特性不符。 ^確技與該有效對應齡之财效特性不狀該已剖析搁位 進订L改而產生-有效欄位之—可能性。此外,可判斷該攜帶式 σ執仃4田之4_進制影像是否包含一動態鏈接庫、一核心驅動程 式或一可執行對象。 。。乂據又Α方式,一種系統包含一處理器以及一搞接該處理 =憶體。一第—軟體模組可由該處理器及該記憶體執行。該 卜軟體模組用以剖析—摟帶式可執㈣之—二進制影像,以產 」析柢Η立第二軟體模組可由該處理器及該記憶體執 订。该第二軟體模組用以確定該已剖析攔位之一屬性一第:軟 可由該處理器及該記憶體執行。該第三軟體模組用以1少 攜帶式可執行樓格式規範,將該洲 …有效特性相比較。—第四軟體模_ ‘之體執行。該第四軟體模組用以判斷該已剖析欄 亥屬性疋否與該有效對應欄位之該有效特性相符。 201128383 可包含以下特徵其中之一或多者。該已剖析攔位可包含以下其 中之一或多者:一攜帶式可執行格式簽名、一映像基底 (ImageBase)欄位、一映像尺寸(SizeOflmage)欄位、一棺案校 準(File Alignment )攔位、一區段校準(SectionAlignment )攔位、 一入口點(EntryPoint)位址、一導入表(import table)、一導入 位址表(import address table )、一 導出表(export table )、一重定 位表(relocation table )、一 資源表(resource table )、一執行緒本 地儲存表(thread local storage table )、一加載配置表(load configuration table)、一邊界導入表(bound import table)、一連接 埠(COM)表、以及一攜帶式可執行部分表(portable executable section table )。該已剖析欄位之該屬性可包括一欄位辨識符、一攔 位長度、及一欄位内容至少其中之一。 用以判斷該已刟析攔位之該屬性是否與該有效對應攔位之該有 效特性相符之該第四軟體模組可更用以判斷該已剖析襴位之該屬 性對於一預定作業系統是否有效。一第五軟體模組可由該處理器 及該記憶體執行。該第五軟體模組可用以辨識該已剖析攔位是否 與該有效對應欄位之該有效特性不符。 一第六软體模組可由該處理器及該記憶體執行。該第六軟體模 組可用以確定對與該有效對應欄位之該有效特性不符之該已剖析 攔位進行修改而產生一有效欄位之一可能性。一第七軟體模組可 由該處理器及該記憶體執行。該第七軟體模組可用以判斷該攜帶 式可執行檔之該二進制影像是否包含一動態鏈接庫、一核心驅動 程式或一可執行對象。 201128383
V 在附圖及下文 -說明中閣述-或多種實施方式之細節。根據本說 明、附圖及申請專利範圍’其他特徵及優點將變得顯而易見。 【實施方式】 熟習此項技術者應理解,本發明可實施為一種系統、方法或電 腦程式產品。因此,本發明可為—完全硬體實施例、—完全㈣ 實施例(包括㈣、駐存軟體、微碼等)、或一將軟體與=二樣 相結合之實施例之形式,所有此等實施例皆可被統稱為「電路‘」7、 「模組」或「系統」。此外,本發明可為電腦程式產品之形式,咳 電腦程式產品實施於一或多個收錄有電腦可用程式碼之電腦可讀 取(即電腦可使用的)媒體中。 可利用一或多個電腦可項取記錄媒體之任意組合。該電腦可格 取記錄媒體包括一電腦可讀取儲存媒體,電腦可讀取儲存媒體可 例如(但不限於)為電性、磁性、光學、電磁、紅外或半導體系 統、裝置、器件、或其任意適當組合。實例性電腦可讀取儲存媒 體可包括但不限於:攜帶式電腦磁碟、硬碟、固態碟驅動機、隨 機存取記憶體(random access memory ; RAM )、唯讀記憶體 (read-only memory; ROM )、可抹除可程式化唯讀記憶體(erasaMe programmable read-only memory ; EPROM,或快閃記憶體)、光纖、 攜帶式光碟唯s買記憶體(compact disc read-only memory ; CD-ROM)、光學儲存裝置、磁性儲存裝置、或其任意適當組合。 在本文之上下文中’電腦可讀取儲存媒體可為可包含或儲存有一 程式之任何媒體,該程式供一指令執行系統、裝置或器件使用或 與該指令執行系統、裝置或器件結合使用。 201128383 用於執行本發明操作之電 电細%式碼可使用諸如Java、
Smalltalk、C++或類似之物件莫6 (object oriented programming language )進行雊宜_ 仃、’用於執行本發明操作之 =腦料碼料制諸如「C」程式料語《類㈣式設計語言 習去私式έ進彳了編寫。程式碼可完全在—單個計算裝置 上執行(例如作為一獨立軟體包) 子人® a)’及/或可至少部分地在多個可彼 此遠離之計算裝置上執行。在 在後種情形中,遠程計算裝置可透 過一局部區域網路(l〇c 1 峪I⑽area netw〇rk ; LAN )或一廣域網路(评此 area network ; WAN )相互造姑. 連接,或者可連接至一或多個遠程計算 褒置(例如,利用網際網路服務提供商透過網際網料行連接)。 以下,將參照根據本發明實施例之方法 '裝置(系統)及電腦 私式產品之流程圖及/或方塊圖來說明本發明。應理解,可由電腦 程式指令執行該等流程圖及/或方塊圖之每—方塊、以及該等流程 圖及/或方塊圖中各方塊之組合。該等電腦程式指令可提供給一通 用電腦、專用電腦、或其他可程式化資料處理裝置之處理器以形 成一機器,俾使該等指令在透過電腦或其他可程式化資料處理裝 置之該處理H執行時形成用於執行流程圖及/或方塊圖之—或多個 方塊中所規定之功能/動作。 4等電腦&式指令亦可儲存於—電腦可讀取記憶體中,該電腦 可讀取記憶體可令—電腦或其他可程式化資料處理裝置以-特定 方式運作’俾使儲存於該電腦可讀取記憶體中之指令形成—包含 才曰v構件之製品,料指令構件執行在流程圖及/或方塊圖之一或 多個方塊中所規定之功能/動作。 〆 9 201128383 電腦程式指令亦可 门加载至—電腦或其他可程式化資料處理裝置 中’以在该電腦或其他可程式直 成-由電腦執行之過程 等%㈣步驟來形 裝置上執行時提供用於執^ 々在該電腦或其他可程式化 執仃在流程圖及/或方塊圖之-或多個方塊 中所規定之功能/動作之步驟。 參見第1圖’其顯示可分職存於—計算裝置μ 裝置^執行之有效性檢查過程! 由十异 _ 1/( 彳> 復過私丨2及自動化解碼過 I:】管圖,顯示有效性檢查過程1〇、修復過程12及自動化 解碼私Η中每一者皆駐存於計算裝置^上,然此僅供用於例 不目的’乃因有效性檢查過程1〇、修復過程及自動化解瑪過程 中之或夕者亦可分別駐存於一單獨之計算裝置上。 /十具裝置16之實例可包括但不限於:一個人電腦一伺服器電 月b、一系列伺服器電腦、一 跑 迷如電知及一主機電腦(mainframe P ter)。十异裝置16可運行一作業系統,例如驗隱治⑧ Windows® χρ 4 rph η〇+® t · 丄 _ ^ dHat Llnux。亦可同等地使用各種其他/替代 计异裝置及作業系統。舉例而言,計算裝置16可為一分佈式計算
網路之-部分,其中完全地或部分地在透過_資料網路(例Z LAN、WAN、網際網路等)與計算裝置㈣轉合之另一計算裝置 上執行有效性檢查雜1G、修復過程12及自動化解刺程Μ、其 中之一或多者。 如下文所將更詳細論述,有效性檢查過程1〇〇可剖析一攜帶式 可執行檔之-二進制影像,以產生—已剖析攔位(⑽㈣仏⑷。 有效性檢查過程10亦可確定該已剖析攔位之一屬性。有效性檢查 10 201128383 過程10可至少部分地根據一攜帶式町執行檔格式規範(portable executable file format specification),將該已剖析攔位之屬性與一 有效對應攔位之一有效特性相比較。有效性檢查過程10亦可判斷 該已剖析攔位之該屬性是否與該有效對應欄位之該有效特性相 符。 此外,亦如下文所將更詳細論述,修復過程12可辨識一攜帶式 可執行檔之一無效欄位。修復過程12亦可確定修復該攜帶式可執 行檔之該無效攔位之一可能性。修復過程12可產生一修復模型 (repair model),以用於修復該攜帶式可執行檔之該無效欄位。修 復過程12可至少部分地根據該修復模逛,修復該攜帶式可執行檔 之該無效攔位。 同樣地’亦如下文所將更詳細論述,自動化解碼過程14可在一 已編碼之攜帶式可執行樓(packed portable executable file)之一 原始入口點位址(original entry point address )設置一除錯斷點 (debugging p〇int)。自動化解碼過程14亦可對該已編碼之攜帶式 可執行檔執行一除錯過程,以在記憶體中獲得一已除錯之攜帶式 可執行檔。自動化解碼過程14亦可在對該已編碼之攜帶式可執行 檔執行該除錯過程期間,收集一導入位址表資料(imp〇rt address table data)與重定位表資料(rei〇cati〇n (沾卜data)其中之一或多 者。自動化解碼過矛呈14可複製記憶體中之該已除錯之攜帶式可執 行檔至一儲存媒體,並可終止該除錯過程。 有效性檢查過程10、修復過程12及自動化解碼過程14之指令 集及次常式(sub酬tine)可包括—或多個軟體模組並可儲存於搞 201128383 合至計算| τ < 於計算裝置16中之财子裝置18中,此等指令及次常式可由包含 體模組(圖未干出之二或多個處理器(圖未示出)及—或多個記憶 '、出)執行。儲存裝置18可包括但不限於:一硬碟 機,一固態驅動機. 劝機,—磁帶驅動機;一光學驅動機;一 RAID陣 列,一隨機存取記怜許卩 己隐體(RAM);以及一唯讀記憶體(r〇m)。 歸因於PE ( $崔盤+ 7 、 镐可式可執行)檔包含可執行碼之事實,可能期望 有二進制對象(例如旧標之二進制影像)之前執行檔檢查。 制檢查過可在—PE二進制影像執行之前分析該PE二進 。U判斷§亥PE標是否係為一有效二進制影像。 制影像可係指一可由—仏—Hβ双一進 由、、,5疋作業糸統使用之檔,其或者為包含 執仃碼之影像或者為其他類型之多媒體資訊。 亦參見第2圖,如上文所述’有效性檢查過程10可剖析50 攜帶式可執行樓(例如ΡΕ二進制影像20,其駐存於儲存斤7 上,如第1圖所示)之—二、佳生丨直,你、士 、 8 有效性檢杳過r 10介 •衫’以生52 -已剖析欄位。 有效!·生檢查過知10亦可確定54該已剖析搁位之一屬性。進一牛 有效=麵程1G可至少部分地㈣—攜帶式可執行檔格核 乾’將該已騎攔^職與—纽賴_之-有 較%。有效性檢查過程10亦可判斷58該已剖析搁位之= 否與該有效對應櫊位之該有效特性相符。 疋 有效性檢查過程10可剖析5〇該PE二進制影像2〇,以 一已剖析攔位。有效性檢查過程1G可剖析%該pE二 20,以產生52複數個符合冲檔格式_之櫚位。舉例而t ΓΓ 、 mE-進·像剖析50成_攜帶式可執 12 201128383 κ
行格式簽名(portable executable format signature)、一映像基底 (ImageBase)欄位、一影像大小(SizeOflmage)攔位、一檔對齊 (FileAlignment)欄位、一部分對齊(SectionAlignment)欄位、 一入口點(EntryPoint)位址、一導入表(import table )、一導入 位址表(import address table )、一 導出表(export table )、一重定 位表(relocation table )、一 資源表(resource table )、一執行緒本 地儲存表(thread local storage table )、一加載配置表(load configuration table )、一邊界導入表(bound import table )、一 COM 表、以及一攜帶式可執行部分表(portable executable section table )。 儘管上文已指出數個欄位,然而此等攔位僅用於例示目的,乃 因有效性檢查過程1〇可將PE二進制影像2〇剖析5〇成根據設計 準則及使用者需求而加以選擇之各種其他/替代欄位。另外,剖析 50邊PE二進制影像20以產生52 —或多個已剖析欄位可包括但 不限於:以物理方式隔離每一攔位(例如,複製每一攔位於一單 獨檔、資料庫攔位等中)、分別讀取每一欄位、使一偏移量與每一 攔位之起點(及/或終點).相關聯等等。如此一來,藉由剖析50 該PE二進制影像20以產生52 —或多個已剖析攔位,便可分別檢 查每一攔位。 如上文所述,有效性檢查過程1〇亦可確定54已剖析欄位之— 屬性。有效性檢查過程1〇所確定54之屬性可包括一欄位辨識符、 一欄位長度、及一欄位内容其中之一或多者。舉例而言,有效性 檢查過程10可確定54該PE二進制影像20包括一值為0X00400000 13 201128383 之 ImageBase 欄位、一值為 0x1000 之 SectionAlignment 攔位及一 值為 0x200 之 FileAlignment 欄位。 有效性檢查過程10可至少部分地根據一攜帶式可執行檔格式規 範,將該已剖析欄位之該一或多個所確定54屬性與一有效對應欄 位之一有效特性相比較56。一有效對應欄位可包括由Microsoft 公司發佈之「Microsoft攜帶式可執行檔及通用目標檔格式規範 (Microsoft Portable Executable and Common Object File Format Specification ; PECOFF)」所要求或容許之欄位,且該欄位對應於 一已剖析攔位。舉例而言,已剖析ImageBase攔位之一有效對應 欄位可係為被PEC0FF容許作為一可選Windows專用欄位之 ImageBase欄位。一有效對應欄位之一有效特性可包括pecqff 可容許之特性。舉例而言,PEC0FF可規定一所接受PE二進制影 像之可接受之攔位辨識符、欄位長度及欄位内容。舉例而言, PECOFF可定義一缺設ImageBase值0x00400000,並可要求該值 為64K之倍數。同樣地,PECOFF可規定SectionAlignment攔位 具有大於或等於FileAlignment之值。進一步,PEC0FF可規定
FileAlignment具有介於512與64K之間的為2的冪數之值。相應 地’上述可為所辨識攔位之有效特性之實例。 有效性檢查過程丨〇可至少部分地根據已剖析欄位之屬性與一有 效對應搁位之一有效特性之間的比較56,判斷58該已剖析欄位之 該>1 ’I·生是否與該有效對應欄位之該有效特性相符 。繼續說明上述 Ά例對於ΡΕ _進制影像20之FileAlignment欄位,所確定54 屬性為512 °亦如上所述,pEC〇FF可規定FileAngnment欄位具 14 201128383 ' 有介於512與64K之間的為2的冪數之值。相應地,有效性檢杳 過程10可確定58已剖析FileAlignment攔位(例如,其值為512 ) 之屬性與一有效FileAlignment攔位之一有效特性相符。 判斷58已剖析欄位之屬性是否與有效對應襴位之有效特性相符 可包括判斷60已剖析欄位之屬性是否可有效地用於一預定作業系 統。同樣’繼續說明上述實例,有效性檢查過程1 〇可能已確定PE 二進制影像20之一 ImageBase欄位值為〇χ〇〇4〇〇〇〇〇。該所確定值 可係為 Windows NT、Windows 2000、Windows XP、Windows 95 '
Windows 98及Windows Me作業系統之缺設值。然而,根據 PECOFF,Windows CE 之 ImageBase 欄位缺設值係為 οχοοοιοοοο。 因此’有效性檢查過程10可確定60該PE二進制影像20之已剖 析ImageBase欄位不能有效地用於Windows CE。 有效性檢查過程10可判斷58已剖析欄位是否與有效對應襴位 之有效特性不符。繼續說明上述實例,PECOFF規定 SectionAlignment攔位具有大於或等於FileAlignment之值。進一 步,有效性檢查過程10可能已確定54該PE二進制影像20之一 SectionAlignment欄位屬性為256且一 FileAlignment攔位屬性為 512。因此,由於對於PE二進制影像20,所確定54之 SectionAlignment欄位屬性(即256)不大於或等於所確定54之 FileAlignment欄位屬性(即512),故有效性檢查過程1〇可確定 5 8已剖析Section Alignment欄位不與一有效對應攔位之一有效特 性相符(即所確定54之SectionAlignment欄位屬性不大於或等於 所癌定54之FileAlignment欄位屬性)。因此,有效性檢查過程1 〇 15 201128383 可提供一指不符(例如,可在—圖形使用者介面中提供一指示符 (圖未示出))。 若已剖析攔位不與有效對細位之有效特性補,财效性檢查過程ι〇 可確定62對與該有效對應攔位之該有效特性不符之該已剖析搁位 進行修改而產生一有效欄位之—可能性。有效性檢查過程1〇可至 少部分地根據不與一有效對應攔位之有效特性相符的欄位中錯誤 之數目及性質,來確定62對該已剖析欄位進行修改而產生一有效 搁位之一可此性。舉例而& ’繼續說明上述實例,由於值小於 FileAlignment欄位之值,pE二進制影像20之已剖析 SectionAlignment 搁位不與一有效 SectionAlignment 搁位之一有效 特性相符。有效性檢查過程10可確定62能夠對PE二進制影像 20之該SectionAlignment欄位進行修改而產生一有效特性之可能 性很大’乃因PE二進制影像20之已剖析SectionAlignment欄位 包含單個非常明確之錯誤(即,其值小於File Alignment欄位)。 舉例而言,可將SectionAlignment欄位修改成包含大於或等於 File Alignment攔位之值。儘管可能需要進行某種遞歸測試來修改 PE二進制影像20之SectionAlignment攔位以獲得一有效欄位,然 而非常有可能可達成此種修改。 可至少部分地根據一或多種經驗法則來確定62對一欄位進行修 改而產生一有效欄位之可能性。該一或多種經驗法則可至少部分 地基於在各種欄位中可發生之各種可能之錯誤類型以及為修正該 等錯誤而可採取之可能修改方式。因此,對於一給定欄位中之一 錯誤類型,當可存在的一般能達成一有效欄位之可能修改方式相 16 201128383 對很少時,有效性檢查過程10可確定62對該攔位進行修改以產 生-有效獅之可純⑽高。相反,對於具料多可能修改方 式之-錯誤類型,由於其中之許多可能修改方式可能無法達成一 有效欄位,故有效性檢查_ 1G可確定62對賴位進行修改而 產生-有效攔位之可能性相對低。類似地4在已剖析攔位與一 有效對應欄位之間所_之錯誤數目㈣大,财效性檢查過程 10亦確定62對該攔位進行修改以產生_有效攔位之可能性相對 低。 有效性檢查過程Π)亦可_ 64賴帶切執行棺之二進制声 像是否包含一動態鏈接庫、一核心驅動程式u_ldriver)或Γ 可執行對象。有效性檢查過程1〇可藉由根據可能之有效特性及可 能之有效攔位對已崎_進行則f,而基於❹所包含棚位、 所=搁位之内容等其中之一或多者而確定64 PE二進制影像加 之性質。可類似地確定PE二進制影像2〇之各種其他/替代特性。 舉例而言,有效性檢查過程10可確定以下其中之—或多者可在 =執行該PE檔之—環境,該PE檔是否係為—控制台(_則 或八他具有-圖形使用者介面之應用程式,該奸播是否包含附屬 檔以及該等附屬樓是否存在於目標系統上,該叩標是否包含附屬 功能以及附屬功能是否存在於可在目標系統上得到之庫中等等。 如上文所簡要說明,有效性檢查過程】〇可提供_輪出以指示各 種已剖析攔位、欄位屬性、欄位之有效性、冲樓之性質等。在一 實施例中,有效性檢查過程10可提供一圖形使用者介面可透過 該圖形使用者介面m該等不同之輸出。另外/另—選擇為有 J7 201128383 效性檢查過程ίο可提供一輸出至一資料庫、檔等,進而一使用者 可透過一恰當之程式(例如一資料庫應用程式)而使用該輸出。 熟習此項技術者將得知各種其他適宜之輸出。 PE二進制影像可能會因各種機制而受損。舉例而言,當PE檔 自一個媒體傳送至另一媒體時,該等PE檔可能會受損。類似地, 軟體編碼器(例如UPX、PECompact、ASPack等)可能會引入錯 誤。軟體編碼器所引入之錯誤可能會使某些檔僅對於某些能支援 PE檔格式之作業系統版本有效。相應地,可執行修復過程12來 修復受損之PE檔。- 亦參照第3圖,修復過程12可辨識100 —攜帶式可執行檔(例 如,第1圖所示之PE二進制檔20)之一無效欄位。此外,修復 過程12可確定102對攜帶式可執行檔之無效欄位進行修復之一可 能性。修復過程12可產生104 —修復模型,該修復模型用於修復 攜帶式可執行檔之無效攔位。修復過程12可至少部分地根據修復 - 過程12所產生104之修復模型而修復106攜帶式可執行檔之無效 欄位。 修復過程12可利用各種機制來辨識100 PE二進制影像20之一 無效欄位。舉例而言,修復過程12可自有效性檢查過程10 (已詳 述於上文中)接收108 —指示符,該指示符指示PE二進制影像 20及/或PE二進制影像20之子集部分(即,PE二進制影像20之 各個欄位之有效性)之有效性。修復過程12可直接自有效性檢查 過程10接收108指示符。另外/另一選擇為,在其中有效性檢查過 程10可產生一有效性報告(例如,以一檔案、f料庫表項或類似 18 201128383 之形式)之-實施例中,修復過程12可藉由存取㈣該有效性報 告並解譯其内容而辨識H)〇_無效攔位(及/或複數個無效棚位 在其他實施例中,修復過程12可藉由對PE二進制影像2〇執行 一或多次有效性檢查而辨識1〇〇 PE二進制影像^之—無㈣ 位。舉例而言,修復過程12可按類似於上文參照有效性檢查過程 10所述之方式’對PE二進制影像2〇執行—或多次有效性檢查。 舉例而言,修復過程12可大體將PE二進彡像2()剖析成複數個 欄位,並可將該等欄位之屬性與有效對應欄位之有效特性相比 較。如上文所述,有效對應攔位之有效特性可由pec〇ff規定。 相應地’可至少部分地根據該等各個攔位及屬性是否符合pEC〇FF 而確定欄位之有效性(及/或PE二進制影像20整體之有效性)。 因此,修復過程12可將一無效攔位辨識1〇〇為所具有之一屬性不 符合PECOFF所規定之一有效對應欄位之一有效特性之欄位。 當辨識100 —無效欄位時,修復過程12可檢查PE二進制影像 20之所有攔位’及/或可特別關注PE二進制影像2〇之最緊要爛 位。可能特別重要之欄位(例如,其可對PE二進制影像2〇具有 最大影響)之實例可包括但不限於:P E格式簽名、p E專用襴位(例 如 ImageBase、SizeOflmage、FileAlignment、SectionAlignment 及
EntryPoint位址)以及PE專用表(例如導入表、導入位址表、導 出表、一重定位表、一資源表、執行緒本地儲存表、加載配置表、 邊界導入表、COM表以及PE部分表(PE section table ))。 如上文所述,修復過程12可確定102對PE二進制影像20之該 無效攔位(或多個無效欄位)進行修復之一可能性。修復過程! 2 19 201128383 可至少部分地根據對談無效欄位中與一有效對應欄位之一有效特 性不符之屬性之數目及特性之確定114而確定102對PE二進制影 像20之無效欄位進行修復之一可能性,所述確定114係至少部分 地根據一攜帶式可執行檔格式規範(例如PECOFF)而進行。舉例 而言,需說明者,不同之錯誤可具有較其他錯誤為高之可修復可 能性。類似地,具有相對很少之錯誤之一 PE檔可具有較具有相對 大量錯誤之一 PE檔為高之可修復可能性。 修復過程12可確定102修復一無效欄位之可能性,包括將所辨 識100之無效欄位(包括不符合PECOFF之無效欄位之屬性)與 一可能錯誤之庫相比較,並確定能修復錯誤之可能性。該可能錯 誤之庫(例如駐存於儲存裝置18上之函式庫22)可包括先前已遇 到的各種錯誤之經驗資料以及是否可修復錯誤而獲得一可執行 標。 如上文所述,修復過程12可產生104 —修復模型,該修復模型 用於修復所辨識100之無效欄位。修復過程12所產生104之修復 模型可包含一或多種用於修復該一或多個所辨識1〇〇之無效欄位 之演算法。類似於對修復無效欄位之可能性之確定102,修復過程 12可至少部分地根據一或多個經驗法則(例如,可包含於函式庫 22中)而產生104修復模型。舉例而言,修復過程12可產生104 一用於修復具異常值之無效SizeOflmage欄位之修復模型,其中法 則可包含重新計算一正確之SizeOflmage值。類似地,修復過程 12可產生104 —用於修復不包含一可執行屬性之無效入口點部分 之修復模型,其中法則可包含修正該等部分之屬性。在又一實例 20 201128383 中,修復過程12可產生i〇4 —用於修復無法進行-物理定位之無效 資源表資料之修復模型,其中法則可包含暫時移除PE報頭 (header )中之無效資源表值。另外’函式庫22可包含經驗法則, 該等經驗法則係基於不同作業系統版本以及該等不同作業系統版 本處理該PE檔格式之方式之間的比較而得出。
I 修復過程12可至少部分地根據修復過程12所產生1〇4之修復 模型而修復106攜帶式可執行檔之無效欄位。某些錯誤(即無效 攔位)可藉由修改駐存於儲存裝置18上之PE二進制影像2〇而「在 -碟上(on disk」)修復。相應地,修復過程12可藉由靜態地修復 116無效欄位而修復1〇6該無效攔位。靜態地修復116該無效欄位
可包括在儲存裝置18上修改118攜帶式可執行檔之影像(例如pE 〜進制影像2G)。修復過程12可將已修改之PE影像儲存12〇於 健存裝置18上。 私舉例而& ’繼續說明上述其中SizeOflmage因具有一異 *值而被辨識^ 二進制影像2〇 為無效欄位之貫例,修復過程12可靜態地修復 之Size〇fimage欄位。舉例而言,修復過程可重 新計算一正確珍伋過枉1里 1Ze〇flmage值。修復過程12可將pe二進制影 1冢20修改成包含正 確之SizeOflmage值。修復過程可將已修改 E 一進制影像2 D μ — 豕20儲存於儲存裝置18上。 除可「在碟上故〆 關於何種錯誤可/,復之錯誤外’其他錯誤可在記憶體中修復。 之、在碟上」修復以及何種錯誤可在記憶體中修復 中t 分地基於經驗法則(例如,可駐存於函式庫η T )。對於可在記恃 ·" _中1復之錯誤,修復過程12可動態地修復 21 201128383 122無效欄位。為動態地修復122 —無效欄位,修復過程12可執 行124攜帶式可執行檔(例如,PE二進制影像20)。修復過程12 可更修改126在執行期間駐存於記憶體(例如,RAM)中之攜帶 式可執行檔,其中在執行期間駐存於記憶體中之攜帶式可執行檔 係基於該攜帶式可執行檔(例如,基於PE二進制影像20)。 此外,修復過程可藉由禁用128無效襴位而修復106該無效欄 位。舉例而言,修復過程可藉由在執行攜帶式可執行檔之前,自 儲存於儲存裝置18上之攜帶式可執行檔之一影像(例如,PE二 進制影像20)移除130 —無效攔位而暫時禁用128該無效攔位。
在某些實施例中,修復過程12可藉由禁用128 —無效欄位並動 態地修復122該無效欄位而修復106該無效欄位。舉例而言,參 見上述其中無法對資源表資料進行物理定位之實例,修復過程12 可暫時地移除130 PE報頭中之無效資源表值。然後,修復過程12 可執行124 PE二進制影像20 (例如,修復過程12可執行PE二進 . 制影像20之一解碼器)直至該攜帶式可執行檔之原始入口點。該 原始入口點可包含在該攜帶式可執行檔受到保護(例如,編碼) 之前該攜帶式可執行檔之第一程式指令。一旦PE二進制影像20 之執行到達該原始入口點,便可將過程記憶體轉儲(dumped) 132 至儲存裝置18。換言之,可將與駐存於RAM上之PE二進制影像 20之執行相關聯之過程記憶體保存至儲存裝置18。在PE二進制 影像20之解碼期間自記憶體擷取之資源表資料可被恢復至一原始 狀態,且可儲存一新PE檔,該新PE檔至少部分地基於所轉儲之 過程記憶體。相應地,可獲得一有效PE檔(即,一符合PECOFF 22 201128383 -之PE檔)。 在一實施例中,一 PE二進制影像24可包含一已編碼之攜帶式 可執行檔。一已編碼之攜帶式可執行檔可包含攜帶式可執行檔(符 合PECOFF,如上文所述),該攜帶式可執行檔可包含一或多種軟 體保護方式,例如壓縮、加密、壓縮與加密之組合等等。一般而 言,自動化解碼過程14可對該已編碼之攜帶式可執行檔執行一除 錯過程,並可利用各種斷點及回叫(callback)來收集導入位址表 填充資料、以及各種其他可用於根據已編碼(例如,受保護)之 PE二進制影像24來構建一未受保護之有效攜帶式可執行檔之資 料。 亦參見第4圖,大體而言,自動化解碼過程14可於一已編碼之 攜帶式可執行檔(例如,第1圖所示之已編碼PE二進制影像24) 之一原始入口點位址設置150 —除錯斷點。自動化解碼過程14亦 可對該已編碼之攜帶式可執行檔執行152 —除錯過程,以在記憶 體中(例如,在RAM中)獲得一已除錯之攜帶式可執行檔。自動 化解碼過程14可在對該已編碼之攜帶式可執行檔執行152該除錯 過程期間,收集154 —導入位址表資料與一重定位表資料 (relocation table data)至少其中之一。自動化解碼過程14可複 製156記憶體中所儲存之該已除錯之攜帶式可執行檔至一儲存媒 體(例如儲存裝置18)。自動化解碼過程14可在該攜帶式可執行 檔之原始入口點處終止158該除錯過程。 如上文所述,自動化解碼過程14可在已編碼PE二進制影像24 之一原始入口點位址設置150 —除錯斷點。已編碼PE二進制影像 23 201128383 2 4之原始入口點位址可 去 ^'马在該檔受到保護之前可執行碼之第一 指令。藉由在已編碼Pg - —運制影像24之原始入口點位址設置150 一除錯斷點,便可在將批生,他 ^制傳送至收錄於已編碼PE二進制影像 24内之可執行檔之前暫 巳,、扁碼PE二進制影像24之執行。本文 所述之「已編碼PB二冷~ 運制衫像之執行」及「執行已編碼PE二進 制影像」可係指由已編碼pp _ 馬PE 一進制影像所收錄之稽之執行以及執 行由已、、扁碼PE 一進制影像所收錄之pE擋。自動化解碼過程μ 可確定16G已編碼攜帶式可執行檀之ΐπ^Β·攔位資料以及已 編碼攜帶式可執行檔之AddressOffintryPoint資料。ImageBase攔 位資料以及AddressOffintryPoint資料可自已編碼PE二進制影像 24加載。已編碼PE二進制影像24之原始入口點位址可係、
ImageBase資料與AddressOfEntryPoint資料之和。確定原始入 點可另外包含其他數值計算,該等數值計算可至少部分地基
體編碼器佈局本身。自動化解碼過程14可自已編碼PE -推A ~礎制影 像24載入各種其他資料’例如但不限於:ImageBase資料 SizeOflmage資料及PE部分資料。 自動化解碼過程14可初始化162該除錯過程。初始化丨 Z讀除 錯過程之步驟可包括至少部分地根據已編碼之PE二進制影像' 創建一除錯過程。換言之’初始化162該除錯過程之步綠可建24 一可在其中執行已編碼PE二進制影像24之除錯環境。右# 九 喝初始 化除錯過程中,自動化解碼過程14可在原始入口點上設 除錯斷點。在執行收錄於已編碼PE二進制影像24内之可執〜。, 之第一指令之前,一旦已除錯之過程結束加載,便將調用原私墙 口點上設置之除錯斷點。 入 24 201128383 自動化解碼過程14可執行152該已初始化之除-錯過程。換言 之’可在所建立之除錯環境内執行已編碼之PE二進制影像24。 自動化解碼過程14可收集154—導入位址表資料與一重定位表資 料至少其中之一。收集154 —導入位址表資料與一重定位表資料 至少其中之一之步驟可包括運行該除錯過程,直至其到達導入位 址表填充碼。部分地,自動化解碼過程14可藉由設置164與一函 式庫讀取(LoadLibrary )呼叫、一模組處理獲取(GetModuleHandle ) 呼叫及一程序位址獲取(GetProcAddress )呼叫相關聯之一或多個 除錯斷點而收集154 —導入位址表資料與一重定位表資料至少其 中之一。其他斷點亦可與用於對記憶體中之檔進行重定位之軟體 編瑪器之一部分相關聯。在某些實施例中,與一函式庫讀取 (LoadLibrary)呼叫、一模組處理獲取(GetModuleHandle)呼叫 及一程序位址獲取(GetProcAddress )呼叫相關聯之斷點可在除錯 過程之初始化162期間設置。 在除錯過程内執行之已編碼pE二進制影像24可利用一 LoadLibrary API 呼叫或一 GetModuleHandle API 呼叫,以加載一 附屬動態鍵接庫。设置164與一 LoadLibrary呼叫或一 GetModuleHandle呼叫相關聯之一或多個斷點可使得當正在執行 之已編碼PE二進制影像24加載—動態鏈接庫時回叫自動化解碼 過程14。因應與一 LoadLibrary呼叫或一 GetModuleHandle呼叫相 關聯之斷點回叫,自動化解碼過程14可收集154藉由執行已編碼 PE二進制影像24而載入之動態鏈接庫之名稱。 類似地,在除錯過程中執行之已編碼pE二進制影像24可利用 25 201128383 一 GetProcAddress API呼叫以找到所需API (應用程式設計介面) 之位置。設置164與一 GetModuIeHandle API呼叫相關聯之一或多 個斷點可使得當正在執行之已編碼PE二進制影像24加載所需 API之位址時回叫自動化解碼過程M。因應與一 Get]yIoduieHandle API呼叫相關聯之斷點回叫,自動化解碼過程14可收集154藉由 執打已編碼PE二進制影像24而得到定位之Αρι位址。正在執行 之已編碼PE二進制影像24可在二位置處呼叫GetProcAddress API’例如,用於字符串API定位及序數API定位。自動化解碼過 私14可。又置I64與每一 GetProcAddress API呼叫相關聯之一斷 動化解碼過程14可添加藉由⑺cAddress Αρι呼叫所定 位之API之位置至最新收集之動態鍵接庫。 自動化解碼過程14可自記憶體(例如RAM)複製156 一已除 ’曰 彳曰至電腦可讀取記錄媒體(例如儲存裝置丨8 )。一旦在 除錯%境内執行之已編碼吨二進制影像24到達其中所收錄之可 執行標之原始入σ # & 入口點,该檔之解碼便可實質上完成。換古 檔可被解壓縮及/弋細6 ° 邊 聯之伴^ 等(端視與已編碼PE二進制影像24相關 聯之保叙性質而定)。因此,此時,__已解碼之 j 與計算裝置16相關檔了駐存於 相關恥之記憶體中(例如,如第丨 體26中之PE) 6 閏厅不位於s己憶 。自動化解碼過程14可複製記憶體26巾 PE例如至一駐存 〒之已解碼 存於储存媒體18上之檔。因此, 14可至少部分油讲 動化解碼過程
也根據已編碼PE二進制影像24而創 28,該已儲存之 則建已儲存之PE 部分。 可係為—已解碼攜帶切執储之至少一 26 201128383 -自動化解碼過们4可_ 166 一導入位址表與一重定位表至少 其中之一至已除錯之攜帶式可執行檔(例如,已儲存之pE28), 該導入位址表係至少部分地基於所收集154之導入位址表資料, 該重定位表則至少部分地基於所收集154之重定位表資料。舉例 而言,自動化解碼過程丨4可至少部分地根據自動化解碼過程14 在除錯過程之執行152(例如,其可包括在一除錯環境内執行已編 碼PE二進制影像24)期間所收集154之導人位址表資料及重定 位表資料而構造一導入位址表與—重定位表至少其中之一。 貼附166 -至少部分地基於所收集154之導入位址表資料之導 入位址表與-至少部分地基於所收集154之重定位表資料之重定 位表至少其中之-至已除錯之携帶式可執行樓(例如,已儲存之 PE 28)可包含添加168 —新部分至已除錯之攜帶式可執行播。舉 例而言,已儲存之PE28可不包含_用於—導人位址表之部分及/ 或用於一重疋位表之部分。相應地,自動化解碼過程14可在已 儲存之PE 28内騰出用於—導人位址表及/或用於―重^位表之空 間(例如,藉由在已儲存之PE 28内添力口 168 一用於一導入位址 表及/或-重定位表之適當部分)。接著,自動化解碼過程Μ可貼 附106 „玄V入位址表及/或該重定位表至已儲存pE 28之恰當位置。 一旦已貼附166該導人位址表及/或該重定位表至已儲存之pE Μ’自動化解碼過程14便可使已除錯之pM (例如,已儲存之 PE28)重新對齊17〇。一般而言,使已除錯之冲樓重新對齊⑺ :包含屡縮該槽並驗證該標係為—有效影像,例如,此可包含驗 證該槽之各別PE部分之物理尺寸是否正確且盡可能小。另外,自 27 201128383 動化解碼過程14可讀取、寫入及執行已除錯PE檔(例如,已儲 存之PE 28)之所有部分屬性。因此,自動化解碼過程14可創建 一有效PE檔,該有效PE檔可實質類似於編碼之前(即,在修改 經軟體保護及/或壓縮之檔之前)之已編碼PE二進制影像24。 在解碼過程完成後,自動化解碼過程14可在原始入口點終止 158對已編碼PE二進制影像25之除錯。 儘管上文係論述各種分立之過程,然而如此分開論述係為了易 於說明。該等分立之過程(及/或其部分)可包含一較大應用程式 之可交互作用之各模組。另外,該等過程之各特徵及步驟可與本 文所述其他過程之特徵及步驟結合使用。因此,本發明不應被視 為僅限於上文所述之分立過程。 上文已闡述了本發明之多種實施方式。然而,應理解,可對其 作出各種修飾。因此,其他實施方式亦處於下文申請專利範圍之 範疇内。 【圖式簡單說明】 第1圖示意性地繪示一計算裝置,該計算裝置可執行一有效性 檢查過程、一修復過程及一自動化解碼過程其中之一或多者; 第2圖係為由第1圖之有效性檢查過程執行之一過程之流程圖; 第3圖係為由第1圖之修復過程執行之一過程之流程圖;以及 第4圖係為由第1圖之自動化解碼過程執行之一過程之流程圖。 【主要元件符號說明】 10 :有效性檢查過程 12 :修復過程 28 201128383 14 :自動化解碼過程 18 :儲存裝置 22 :函式庫 26 :記憶體
16 :計算裝置-20 : PE二進制影像 24 : PE二進制影像 28 :已儲存之PE 29
Claims (1)
- 201128383 % 七、申請專利範圍: 1. 一種由電腦執行之方法,包含·· 由一計算裝置剖析一攜帶式可執行檔之一二進制影像, 以產生一已剖析欄位(parsed field ); 由該計算裝置確定該已剖析欄位之一屬性; 由該計算裝置至少部分地根據一攜帶式可執行檔格式規 範(portable executable file format specification ),將該已剖析 欄位之該屬性與一有效對應襴位之一有效特性相比較;以及 由該計算裝置判斷該已剖析欄位之該屬性是否與該有效 對應欄位之該有效特性相符。 2. 如請求項1所述之由電腦執行之方法,其中該已剖析欄位包 含以下至少其中之一:一攜帶式可執行格式簽名(portable executable format signature )、一映像基底(ImageBase )攔位、 一映像尺寸(SizeOflmage)欄位、一樓案校準(FileAlignment) 欄位、一區段校準(SectionAlignment )欄位、一入口點 (EntryPoint)位址、一導入表(import table )、一導入位址 表(import address table )、一 導出表(export table )、一重定 位表(relocation table)、一 資源表(resource table)、一執行 緒本地儲存表(thread local storage table )、一加載配置表(load configuration table)、一邊界導入表(bound import table)、一 連接埠(COM )表、以及一穩帶式可執行部分表(portable executable section table) ° 3. 如請求項1所述之由電腦執行之方法,其中該已剖析欄位之 該屬性包括一攔位辨識符、一欄位焉度以及一欄位内容至少 30 201128383 '其中之一。 4_如明求項】所述之由電腦執行之方本 位夕#s 丁之方法,其中判斷該已剖析攔 二性是料财朗應攔位之财效特性相符之步驟 ^·由該計算裝置判斷該已剖析欄位之該屬性對於 疋作業系統是否有效。 5. 如4求項丨所述之由電腦 柄 丁之方法,更包含:辨識該已剖 6. 析欄位以與該有麟應攔位之财效特性不符。 5所述之由電腦執行之方法,更包含:由該計算裝 置確疋對與該有效對應欄 7. 有效特性不符之該已剖析欄 位進行修改而產生一有效欄位之一可能性。 如請求項1所述之由電腦執行 丁之方法,更包含:由該計算裝 置判斷邊攜帶式可執行檔之該二 運則衫像疋否包含一動態鏈 接庫(dynamic link library )、一姑… 核心驅動程式(kernel driver) 或一可執行對象(executable〇bject)。 8. 一種電腦程式產品,包含一儲左女,卜a 储存有设數個指令之電腦可讀取 記錄媒體,該等指令在由一處理 益執仃時,使該處理器執行 包含以下之操作: 剖析一攜帶式可執行檔之--、# —進制影像,以產生一已剖 析欄位; 4定該已剖析攔位之一屬性; 至少部分地根據-攜帶式可執行標格式規範,將該已剖 析欄位之該屬性與-有效對應攔位之—有效特性相比較;以 及 該 判斷該已剖_狀該屬性有㈣應搁位之 31 201128383 有效特性相符。 - 9. 如請求項8所述之電腦程式產品,其中該已剖析欄位包含以 下至少其中之一:一擔帶式可執行格式簽名(portable executable format signature )、一映像基底(ImageBase )欄位、 一映像尺寸(SizeOflmage )欄位、一稽案校準(FileAlignment) 欄位、一區段校準(SectionAlignment )欄位、一入口點 (EntryPoint)位址、一導入表(export table)、一導入位址 表(import address table )、一 導出表(export table )、一重定 位表(relocation table)、一 資源表(resource table)、一執行 緒本地儲存表(thread local storage table )、一加載配置表(load configuration table )、一邊界導入表(bound import table )、一 連接埠(COM)表、以及一攜帶式可執行部分表(portable executable section table) ° 10. 如請求項8所述之電腦程式產品’其中該已剖析攔位之該屬 性包括一攔位辨識符、一欄位長度、及一攔位内容至少其中 之^° 11. 如請求項8所述之電腦程式產品’其中判斷該;已剖析欄位之 該屬性是否與該有效對應攔位之該有效特性相符之步驟更包 含:判斷該已剖析欄位之該屬性對於一預定作業系統是否有 效。 12. 如請求項8所述之電腦程式產品,更包含:辨識該已剖析欄 位是否與該有效對應欄位之該有效特性不符。 13. 如請求項12所述之電腦程式產品,更包含:確定對與該有效 對應欄位之該有效特性不符之該已剖析攔位進行修改而產生 32 201128383 —有效襴位之一可能性。 14. 15. ,更包含:判斷該攜帶式可 —動態鏈接庫、—核心驅動 如請求項8所述之電腦程式產品 執行標之忒二進制影像是否包含 程式或一可執行對象。 一種系統,包含: —處理器; 一記憶體,耦接該處理器; -弟-軟體模組’可由該處理器及該記憶體執行,該第 一軟體模㈣以剖析—攜帶式可執行標之-二進制影像 產生一已剖析攔位; -第二軟體模組,可由該處理器及該記憶體執行,該第 二軟體模組用以確定該已剖析欄位之一屬性; -第三軟體模組,可由該處理^及該記憶體執行該第 三軟體模組用以至少部分地根據—攜帶式可執行檔格式規 範,將該已剖析欄位之該屬性與一有效對應欄位之一有效特 性相比較;以及 一第四軟體模組,可由該處理器及該記憶體執行,該第 四軟體模組用以判斷該已剖析欄位之該屬性是否與該有效對 應攔位之該有效特性相符。 16.如請求項15所述之系統,其中該已剖析攔位包含以下其中之 一或多者:一攜帶式可執行格式簽名、一映像基底 (ImageBase)攔位、一映像尺寸(sizeoflmage)攔位、一檔 案校準(FileAlignment)攔位、一區段校準(Secti〇nA丨igmnent) 攔位、一入口點(EntryPoim )位址、一導入表(imp〇rt tabie )、 33 201128383 一‘入位址表(imp〇rt address table )、一 導出表(exp〇rt table)' —重定位表(rel〇cati〇n table)、一 資源表(r⑽ urce table)、—執行緒本地儲存表(thread local storage tab]e)、一 加載配置表(load configuration table )、一邊界導入表(b〇und import table)、一連接璋(c〇M)表、以及一攜帶式可執行部 分表(portable executable section table)。 17. 如請求項15所述之系統,其中該已剖析搁位之該屬性包括一 攔位辨識符、一攔位長度、及一攔位内容至少其甲之一。 18. 如请求項15所述之系統,其中用以判斷該已剖析攔位之該屬 性是否與财效對應攔位之該有效特性相符之該第四軟體模 組更用U斷該"析攔位之該屬性對於—預定作業系統 是否有效。 19.如请求項15所述之系 更匕έ可由該處理器及該記憶體執 仃第五軟體模組,該第五軟體模組用以辨識該已剖析棚 位疋否與⑦有效對應攔位之該有效特性不符。 月长貝19所述之系統,更包含可由該處理器及該記憶體執 行之—第六軟體模組’該第六軟體模組用以確定對與該有效 龍欄位之财效特性不符之該已剖析欄位進行修改而產生 有效搁位之一可能性。 21. 如研求項15所述之系統,更台 丈包3可由該處理器及該記憶體執 仃之—第七軟體模組,該第 , 弟七軟體枳組用以判斷該攜帶式可 執仃檔之該二進制影像是否 — ,. 匕3 —動怨鏈接庫、一核心驅動 柱式或一可執行對象。 34
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US22949709P | 2009-07-29 | 2009-07-29 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| TW201128383A true TW201128383A (en) | 2011-08-16 |
Family
ID=43033144
Family Applications (3)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW099125053A TW201128383A (en) | 2009-07-29 | 2010-07-29 | Portable executable file analysis |
| TW099125054A TWI482013B (zh) | 2009-07-29 | 2010-07-29 | 修復攜帶式可執行檔之系統、方法及其電腦程式產品 |
| TW099125055A TWI494751B (zh) | 2009-07-29 | 2010-07-29 | 自動化解碼攜帶式可執行檔之系統、方法及其電腦程式產品 |
Family Applications After (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW099125054A TWI482013B (zh) | 2009-07-29 | 2010-07-29 | 修復攜帶式可執行檔之系統、方法及其電腦程式產品 |
| TW099125055A TWI494751B (zh) | 2009-07-29 | 2010-07-29 | 自動化解碼攜帶式可執行檔之系統、方法及其電腦程式產品 |
Country Status (10)
| Country | Link |
|---|---|
| US (5) | US8826071B2 (zh) |
| EP (3) | EP2460113B1 (zh) |
| CA (3) | CA2806367C (zh) |
| ES (3) | ES2644856T3 (zh) |
| HR (3) | HRP20171470T1 (zh) |
| HU (2) | HUE038791T2 (zh) |
| NO (2) | NO2460075T3 (zh) |
| PT (3) | PT2460113T (zh) |
| TW (3) | TW201128383A (zh) |
| WO (3) | WO2011014625A1 (zh) |
Families Citing this family (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| HUE038791T2 (hu) * | 2009-07-29 | 2018-11-28 | Reversinglabs Corp | Hordozható futtatható fájl elemzése |
| US8607094B2 (en) * | 2009-09-29 | 2013-12-10 | Hyundai Motor Company | Operational system test method |
| AU2010319344B2 (en) * | 2009-11-13 | 2014-10-09 | Ab Initio Technology Llc | Managing record format information |
| US8756695B1 (en) * | 2010-10-26 | 2014-06-17 | Emc Corporation | Analysis of binary code |
| US9158605B2 (en) | 2010-12-01 | 2015-10-13 | Microsoft Technology Licensing, Llc | Method, system and device for validating repair files and repairing corrupt software |
| US9019850B2 (en) * | 2011-04-11 | 2015-04-28 | Qualcomm Incorporated | CSI reporting for multiple carriers with different system configurations |
| US9009678B2 (en) * | 2011-06-28 | 2015-04-14 | International Business Machines Corporation | Software debugging with execution match determinations |
| CN102507682B (zh) * | 2011-10-27 | 2013-09-18 | 浙江大学 | 一种基于银/纳米银的溶解硫化氢探测电极的制备方法 |
| US9047293B2 (en) | 2012-07-25 | 2015-06-02 | Aviv Grafi | Computer file format conversion for neutralization of attacks |
| CN103632088A (zh) * | 2012-08-28 | 2014-03-12 | 阿里巴巴集团控股有限公司 | 一种木马检测方法及装置 |
| CN103019739B (zh) * | 2012-12-28 | 2015-07-29 | 北京神州绿盟信息安全科技股份有限公司 | 重定位表的修复方法、程序脱壳方法及相关装置 |
| CN103077029B (zh) * | 2012-12-28 | 2016-07-13 | 北京神州绿盟信息安全科技股份有限公司 | 一种导入表的修复方法及装置 |
| US9841959B2 (en) * | 2015-02-02 | 2017-12-12 | Google Llc | Fine-grained demand driven IPO infrastructure |
| US9742796B1 (en) | 2015-09-18 | 2017-08-22 | Palo Alto Networks, Inc. | Automatic repair of corrupt files for a detonation engine |
| US10032914B2 (en) * | 2015-10-20 | 2018-07-24 | Taiwan Semiconductor Manufacturing Co., Ltd. | Semiconductor device and manufacturing method thereof |
| RU2606559C1 (ru) * | 2015-10-22 | 2017-01-10 | Акционерное общество "Лаборатория Касперского" | Система и способ оптимизации антивирусной проверки файлов |
| US9858424B1 (en) | 2017-01-05 | 2018-01-02 | Votiro Cybersec Ltd. | System and method for protecting systems from active content |
| CN108614680A (zh) * | 2016-12-14 | 2018-10-02 | 中国航空工业集团公司西安航空计算技术研究所 | 一种信息查询命令程序的自动生成方法和系统 |
| US10331889B2 (en) | 2017-01-05 | 2019-06-25 | Votiro Cybersec Ltd. | Providing a fastlane for disarming malicious content in received input content |
| US10013557B1 (en) | 2017-01-05 | 2018-07-03 | Votiro Cybersec Ltd. | System and method for disarming malicious code |
| US10331890B2 (en) | 2017-03-20 | 2019-06-25 | Votiro Cybersec Ltd. | Disarming malware in protected content |
| CN111796850B (zh) * | 2020-07-20 | 2021-05-11 | 上海航天电子通讯设备研究所 | 一种卫星载荷软件在轨维护设备及方法 |
| CN115145571A (zh) * | 2021-03-31 | 2022-10-04 | 武汉斗鱼鱼乐网络科技有限公司 | 在程序核心代码中隐藏系统函数调用的方法、装置和介质 |
Family Cites Families (59)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US4533997A (en) | 1972-08-25 | 1985-08-06 | Westinghouse Electric Corp. | Computer monitored or controlled system which may be modified and de-bugged on-line by one not skilled in computer programming |
| US3987420A (en) | 1973-12-28 | 1976-10-19 | Ing. C. Olivetti & C., S.P.A. | Electronic computer with equipment for debugging operative programs |
| US5892900A (en) * | 1996-08-30 | 1999-04-06 | Intertrust Technologies Corp. | Systems and methods for secure transaction management and electronic rights protection |
| US5812848A (en) | 1995-08-23 | 1998-09-22 | Symantec Corporation | Subclassing system for computer that operates with portable-executable (PE) modules |
| US5892904A (en) * | 1996-12-06 | 1999-04-06 | Microsoft Corporation | Code certification for network transmission |
| US6367012B1 (en) * | 1996-12-06 | 2002-04-02 | Microsoft Corporation | Embedding certifications in executable files for network transmission |
| US6141698A (en) * | 1997-01-29 | 2000-10-31 | Network Commerce Inc. | Method and system for injecting new code into existing application code |
| US5983366A (en) * | 1997-03-19 | 1999-11-09 | Optimay Corporation | Data processing system having monitoring of software activity |
| US6026235A (en) * | 1997-05-20 | 2000-02-15 | Inprise Corporation | System and methods for monitoring functions in natively compiled software programs |
| US6202199B1 (en) * | 1997-07-31 | 2001-03-13 | Mutek Solutions, Ltd. | System and method for remotely analyzing the execution of computer programs |
| US5983348A (en) | 1997-09-10 | 1999-11-09 | Trend Micro Incorporated | Computer network malicious code scanner |
| US5953534A (en) * | 1997-12-23 | 1999-09-14 | University Of Washington | Environment manipulation for executing modified executable and dynamically-loaded library files |
| US6802006B1 (en) * | 1999-01-15 | 2004-10-05 | Macrovision Corporation | System and method of verifying the authenticity of dynamically connectable executable images |
| TW446872B (en) * | 1999-08-26 | 2001-07-21 | Mitac Int Corp | Detection method of boot-up virus |
| TW451125B (en) * | 1999-11-06 | 2001-08-21 | Mitac Int Corp | Tracking and inspecting method for files infected with computer virus |
| US7058928B2 (en) * | 1999-12-23 | 2006-06-06 | Identify Software Ltd. | System and method for conditional tracing of computer programs |
| US6640317B1 (en) | 2000-04-20 | 2003-10-28 | International Business Machines Corporation | Mechanism for automated generic application damage detection and repair in strongly encapsulated application |
| US7146531B2 (en) | 2000-12-28 | 2006-12-05 | Landesk Software Limited | Repairing applications |
| US7171690B2 (en) | 2001-08-01 | 2007-01-30 | Mcafee, Inc. | Wireless malware scanning back-end system and method |
| US6792543B2 (en) * | 2001-08-01 | 2004-09-14 | Networks Associates Technology, Inc. | Virus scanning on thin client devices using programmable assembly language |
| US7043596B2 (en) * | 2001-08-17 | 2006-05-09 | Sun Microsystems, Inc. | Method and apparatus for simulation processor |
| US20030070087A1 (en) * | 2001-10-05 | 2003-04-10 | Dmitry Gryaznov | System and method for automatic updating of multiple anti-virus programs |
| TWI310919B (en) | 2002-01-11 | 2009-06-11 | Sap Ag | Context-aware and real-time item tracking system architecture and scenariors |
| US7181603B2 (en) * | 2002-03-12 | 2007-02-20 | Intel Corporation | Method of secure function loading |
| US7818657B1 (en) * | 2002-04-01 | 2010-10-19 | Fannie Mae | Electronic document for mortgage transactions |
| US7174320B2 (en) * | 2002-04-04 | 2007-02-06 | Intel Corporation | Method of providing adaptive security |
| US7367056B1 (en) * | 2002-06-04 | 2008-04-29 | Symantec Corporation | Countering malicious code infections to computer files that have been infected more than once |
| GB2389432B (en) * | 2002-06-07 | 2005-09-07 | Advanced Risc Mach Ltd | Instruction tracing in data processing systems |
| US7478431B1 (en) * | 2002-08-02 | 2009-01-13 | Symantec Corporation | Heuristic detection of computer viruses |
| US7076774B2 (en) | 2002-09-10 | 2006-07-11 | Microsoft Corporation | Infrastructure for generating a downloadable, secure runtime binary image for a secondary processor |
| US8219801B2 (en) * | 2003-03-10 | 2012-07-10 | International Business Machines Corporation | Method of authenticating digitally encoded products without private key sharing |
| US7123141B2 (en) | 2003-08-20 | 2006-10-17 | Contestabile Robert A | Electronic monitoring systems and methods |
| KR100777938B1 (ko) * | 2003-09-04 | 2007-11-21 | 싸이언스 파크 가부시키가이샤 | 부정 코드 실행의 방지 방법, 및 부정 코드 실행의 방지용 프로그램의 기록매체 |
| US7549148B2 (en) | 2003-12-16 | 2009-06-16 | Microsoft Corporation | Self-describing software image update components |
| US7620990B2 (en) * | 2004-01-30 | 2009-11-17 | Microsoft Corporation | System and method for unpacking packed executables for malware evaluation |
| US7523343B2 (en) | 2004-04-30 | 2009-04-21 | Microsoft Corporation | Real-time file system repairs |
| US7349931B2 (en) * | 2005-04-14 | 2008-03-25 | Webroot Software, Inc. | System and method for scanning obfuscated files for pestware |
| US8606950B2 (en) * | 2005-06-08 | 2013-12-10 | Logitech Europe S.A. | System and method for transparently processing multimedia data |
| WO2007026484A1 (ja) | 2005-07-27 | 2007-03-08 | Matsushita Electric Industrial Co., Ltd. | 実行バイナリイメージの作成及び実行を行う装置、方法、プログラム、該プログラムを記録したコンピュータ読み取り可能な記録媒体 |
| US8161548B1 (en) * | 2005-08-15 | 2012-04-17 | Trend Micro, Inc. | Malware detection using pattern classification |
| US7725737B2 (en) * | 2005-10-14 | 2010-05-25 | Check Point Software Technologies, Inc. | System and methodology providing secure workspace environment |
| US7546412B2 (en) * | 2005-12-02 | 2009-06-09 | International Business Machines Corporation | Apparatus, system, and method for global metadata copy repair |
| US8479174B2 (en) * | 2006-04-05 | 2013-07-02 | Prevx Limited | Method, computer program and computer for analyzing an executable computer file |
| US7594136B2 (en) * | 2006-04-19 | 2009-09-22 | Microsoft Corporation | Paging-triggered corrupted file recovery |
| US7814544B1 (en) * | 2006-06-22 | 2010-10-12 | Symantec Corporation | API-profile guided unpacking |
| US20080101381A1 (en) | 2006-10-25 | 2008-05-01 | Mediatek Inc. | Address resolution protocol (arp) cache management methods and devices |
| US7797743B2 (en) * | 2007-02-26 | 2010-09-14 | Microsoft Corporation | File conversion in restricted process |
| WO2008146475A1 (ja) | 2007-06-01 | 2008-12-04 | Panasonic Corporation | 記録装置 |
| US20090013405A1 (en) | 2007-07-06 | 2009-01-08 | Messagelabs Limited | Heuristic detection of malicious code |
| US8769268B2 (en) * | 2007-07-20 | 2014-07-01 | Check Point Software Technologies, Inc. | System and methods providing secure workspace sessions |
| US8037536B2 (en) * | 2007-11-14 | 2011-10-11 | Bank Of America Corporation | Risk scoring system for the prevention of malware |
| KR100942795B1 (ko) | 2007-11-21 | 2010-02-18 | 한국전자통신연구원 | 악성프로그램 탐지장치 및 그 방법 |
| US8627302B2 (en) * | 2007-11-27 | 2014-01-07 | Oracle America, Inc. | Sampling based runtime optimizer for efficient debugging of applications |
| US7996904B1 (en) * | 2007-12-19 | 2011-08-09 | Symantec Corporation | Automated unpacking of executables packed by multiple layers of arbitrary packers |
| US8782615B2 (en) | 2008-04-14 | 2014-07-15 | Mcafee, Inc. | System, method, and computer program product for simulating at least one of a virtual environment and a debugging environment to prevent unwanted code from executing |
| US8073840B2 (en) * | 2008-06-17 | 2011-12-06 | Attivio, Inc. | Querying joined data within a search engine index |
| HUE038791T2 (hu) | 2009-07-29 | 2018-11-28 | Reversinglabs Corp | Hordozható futtatható fájl elemzése |
| US8510615B2 (en) * | 2009-10-22 | 2013-08-13 | Xerox Corporation | Virtual repair of digital media |
| US9349103B2 (en) * | 2012-01-09 | 2016-05-24 | DecisionQ Corporation | Application of machine learned Bayesian networks to detection of anomalies in complex systems |
-
2010
- 2010-07-29 HU HUE10765530A patent/HUE038791T2/hu unknown
- 2010-07-29 TW TW099125053A patent/TW201128383A/zh unknown
- 2010-07-29 WO PCT/US2010/043666 patent/WO2011014625A1/en active Application Filing
- 2010-07-29 PT PT107526527T patent/PT2460113T/pt unknown
- 2010-07-29 ES ES10752652.7T patent/ES2644856T3/es active Active
- 2010-07-29 TW TW099125054A patent/TWI482013B/zh active
- 2010-07-29 CA CA2806367A patent/CA2806367C/en active Active
- 2010-07-29 WO PCT/US2010/043660 patent/WO2011014623A1/en active Application Filing
- 2010-07-29 NO NO10742940A patent/NO2460075T3/no unknown
- 2010-07-29 CA CA2806370A patent/CA2806370C/en active Active
- 2010-07-29 EP EP10752652.7A patent/EP2460113B1/en active Active
- 2010-07-29 WO PCT/US2010/043657 patent/WO2011014620A1/en active Application Filing
- 2010-07-29 ES ES10765530.0T patent/ES2667024T3/es active Active
- 2010-07-29 US US12/846,030 patent/US8826071B2/en active Active
- 2010-07-29 US US12/846,048 patent/US9389947B2/en active Active
- 2010-07-29 PT PT107655300T patent/PT2460076T/pt unknown
- 2010-07-29 US US12/846,044 patent/US9361173B2/en active Active
- 2010-07-29 EP EP10765530.0A patent/EP2460076B1/en active Active
- 2010-07-29 ES ES10742940.9T patent/ES2660538T3/es active Active
- 2010-07-29 NO NO10765530A patent/NO2460076T3/no unknown
- 2010-07-29 CA CA2806368A patent/CA2806368C/en active Active
- 2010-07-29 TW TW099125055A patent/TWI494751B/zh active
- 2010-07-29 HU HUE10742940A patent/HUE038328T2/hu unknown
- 2010-07-29 EP EP10742940.9A patent/EP2460075B1/en active Active
- 2010-07-29 PT PT107429409T patent/PT2460075T/pt unknown
-
2016
- 2016-05-09 US US15/150,046 patent/US10261783B2/en active Active
- 2016-06-09 US US15/177,978 patent/US9858072B2/en active Active
-
2017
- 2017-10-02 HR HRP20171470TT patent/HRP20171470T1/hr unknown
-
2018
- 2018-02-21 HR HRP20180306TT patent/HRP20180306T1/hr unknown
- 2018-05-03 HR HRP20180689TT patent/HRP20180689T1/hr unknown
Also Published As
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| TW201128383A (en) | Portable executable file analysis | |
| Novark et al. | Exterminator: automatically correcting memory errors with high probability | |
| Chen et al. | Safestack: Automatically patching stack-based buffer overflow vulnerabilities | |
| US8140908B2 (en) | System and method of client side analysis for identifying failing RAM after a user mode or kernel mode exception | |
| US9298593B2 (en) | Testing a software interface for a streaming hardware device | |
| US20050251791A1 (en) | Systems and methods for branch profiling loops of an executable program | |
| US8510713B1 (en) | Method and system for validating a disassembler | |
| CN115458023A (zh) | 一种ram区辐照效应的异常检测方法、存储介质及系统 | |
| CN111061591B (zh) | 基于存储器完整性检查控制器实现数据完整性检查的系统和方法 | |
| Greenan et al. | Reliability mechanisms for file systems using non-volatile memory as a metadata store | |
| Luo et al. | Platform Software Reliability for Cloud Service Continuity-Challenges and Opportunities | |
| CN108875369B (zh) | 一种控制流完整性校验方法、装置和计算机存储介质 | |
| US10719379B2 (en) | Fault isolation in transaction logs |