TWI494751B - 自動化解碼攜帶式可執行檔之系統、方法及其電腦程式產品 - Google Patents

自動化解碼攜帶式可執行檔之系統、方法及其電腦程式產品 Download PDF

Info

Publication number
TWI494751B
TWI494751B TW099125055A TW99125055A TWI494751B TW I494751 B TWI494751 B TW I494751B TW 099125055 A TW099125055 A TW 099125055A TW 99125055 A TW99125055 A TW 99125055A TW I494751 B TWI494751 B TW I494751B
Authority
TW
Taiwan
Prior art keywords
executable file
portable executable
encoded
memory
software module
Prior art date
Application number
TW099125055A
Other languages
English (en)
Other versions
TW201128385A (en
Inventor
Tomislav Pericin
Original Assignee
Reversinglabs Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Reversinglabs Corp filed Critical Reversinglabs Corp
Publication of TW201128385A publication Critical patent/TW201128385A/zh
Application granted granted Critical
Publication of TWI494751B publication Critical patent/TWI494751B/zh

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F8/00Arrangements for software engineering
    • G06F8/70Software maintenance or management
    • G06F8/74Reverse engineering; Extracting design information from source code
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0706Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
    • G06F11/0715Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in a system implementing multitasking
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0706Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
    • G06F11/0721Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment within a central processing unit [CPU]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0793Remedial or corrective actions
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/36Preventing errors by testing or debugging software
    • G06F11/362Software debugging
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F8/00Arrangements for software engineering
    • G06F8/60Software deployment
    • G06F8/65Updates

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Quality & Reliability (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Stored Programmes (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Devices For Executing Special Programs (AREA)
  • Input Circuits Of Receivers And Coupling Of Receivers And Audio Equipment (AREA)
  • Two-Way Televisions, Distribution Of Moving Picture Or The Like (AREA)

Description

自動化解碼攜帶式可執行檔之系統、方法及其電腦程式產品
本申請案概言之係關於反向工程化軟體(reverse engineering software),更具體而言,係關於解碼軟體及對軟體檔之有效性分析。
Microsoft公司在「Microsoft攜帶式可執行檔及通用目標檔格式規範(Microsoft Portable Executable and Common Object File Format Specification)」中所定義之攜帶式可執行檔格式(PE檔格式)係為一種用於可執行碼、目標碼及DLL(動態鏈接庫(dynamic link libraries))之檔案格式。PE檔係用於Microsoft Windows作業系統之32位元版本及64位元版本。PE檔格式係為一種非常通用之格式,可用於諸多作業系統環境中並支援各種處理器解決方案。
軟體開發者可利用各種方案來保護軟體,包括PE檔。舉例而言,可利用軟體編碼器(packer)來壓縮二進制資料,此可減小與傳送二進制資料相關聯之頻寬使用量以及儲存量。類似地,可利用編碼器來保護收錄於軟體內之智慧財產並防止代碼盜竊。編碼可涉及各種可使可執行碼之內容模糊難辨之壓縮及/或加密方案。運行經壓縮之可執行檔可將原始可執行碼解碼(例如,其可包括解壓縮及/或解密)並接著傳送控制訊息至原始可執行碼。因此,直到實際執行軟體時方知可執行碼之性質。舉例而言,若可執行碼係為惡意軟體(malware)或其他非所欲之軟體,則此可造成問題,乃因得知此種軟體之性質時為時已晚。
根據一實施方式,一種由電腦執行之方法包含:由一計算裝置在一已編碼之攜帶式可執行檔(packed portable executable file)之一原始入口點位址(original entry point address)設置一除錯斷點(debugging point)。該方法亦包含由該計算裝置對該已編碼之攜帶式可執行檔執行一除錯過程,以在記憶體中獲得一已除錯之攜帶式可執行檔。在對該已編碼之攜帶式可執行檔執行該除錯過程期間,由該計算裝置收集一導入位址表資料(import address table data)與一重定位表資料(relocation table data)至少其中之一。由該計算裝置複製記憶體中之該已除錯之攜帶式可執行檔至一儲存媒體。該方法亦包含由該計算裝置終止該除錯過程。
可包含以下特徵其中之一或多者。該已編碼之攜帶式可執行檔之該原始入口點位址可由該計算裝置至少部分地根據該已編碼之攜帶式可執行檔之映像基底(ImageBase)欄位資料以及該已編碼之攜帶式可執行檔之進入點位址(AddressOfEntryPoint)資料、以及可能之其他數值計算而確定,該等可能之其他數值計算可至少部分地基於軟體編碼器(software packer)佈局本身。該除錯過程可由該計算裝置初始化,包括至少部分地根據該已編碼之攜帶式可執行檔創建一除錯過程。
收集該導入位址表資料與該重定位表資料至少其中之一之步驟可包括:設置與一函式庫讀取(LoadLibrary)呼叫、一模組處理獲取(GetModuleHandle)呼叫及一程序位址獲取(GetProcAddress)呼叫相關聯之一或多個除錯斷點、以及用於重定位記憶體中之該檔之該軟體編碼器之一部分。可由該計算裝置向複製至儲存媒體之該已除錯之攜帶式可執行檔中貼附以下至少其中之一:一導入位址表,其至少部分地基於該等所收集之導入位址表資料;以及一重定位表,其至少部分地基於該等所收集之重定位表資料。向複製至儲存媒體之該已除錯之攜帶式可執行檔中貼附之步驟可包括:添加一新部分至複製至儲存媒體之該已除錯之攜帶式可執行檔。該方法亦可包含:由該計算裝置使複製至儲存媒體之該已除錯之攜帶式可執行檔重新對齊(realigning)。
根據另一實施方式,一種電腦程式產品包含一儲存有複數個指令之電腦可讀取記錄媒體。該等指令在由一處理器執行時,使該處理器執行包含以下之操作:在一已編碼之攜帶式可執行檔之一原始入口點位址設置一除錯斷點。亦包含用於如下之指令:對該已編碼之攜帶式可執行檔執行一除錯過程,以在記憶體中獲得一已除錯之攜帶式可執行檔。在對該已編碼之攜帶式可執行檔執行該除錯過程期間,收集一導入位址表資料與一重定位表資料至少其中之一。亦包含用於如下之指令:複製記憶體中之該已除錯之攜帶式可執行檔至一儲存媒體。更包含用於如下之指令:終止該除錯過程。
可包含以下特徵其中之一或多者。可包含用於以下之指令:至少部分地根據該已編碼之攜帶式可執行檔之映像基底(ImageBase)欄位資料以及該已編碼之攜帶式可執行檔之進入點位址(AddressOfEntryPoint)資料、以及可能之其他數值計算而確定該已編碼之攜帶式可執行檔之該原始入口點位址,該等可能之其他數值計算可至少部分地基於軟體編碼器本身。可包含用於以下之指令:初始化該除錯過程,包括至少部分地根據該已編碼之攜帶式可執行檔創建一除錯過程。
收集該導入位址表資料與該重定位表資料至少其中之一之步驟可包括:設置與一函式庫讀取(LoadLibrary)呼叫、一模組處理獲取(GetModuleHandle)呼叫及一程序位址獲取(GetProcAddress)呼叫相關聯之一或多個除錯斷點、以及用於重定位記憶體中之該檔之該軟體編碼器之一部分。可包含用於向該已除錯之攜帶式可執行檔中貼附以下至少其中之一之指令:一導入位址表,其至少部分地基於該等所收集之導入位址表資料;以及一重定位表,其至少部分地基於該等所收集之重定位表資料。向該已除錯之攜帶式可執行檔中貼附可包括:添加一新部分至該已除錯之攜帶式可執行檔。
可更包含用於使該已除錯之攜帶式可執行檔重新對齊(realigning)之指令。
根據再一實施方式,一種系統包含一處理器以及耦接該處理器之一記憶體。一第一軟體模組可由該處理器及該記憶體執行。該第一軟體模組用以在一已編碼之攜帶式可執行檔之一原始入口點位址設置一除錯斷點。一第二軟體模組可由該處理器及該記憶體執行。該第二軟體模組用以對該已編碼之攜帶式可執行檔執行一除錯過程,以在記憶體中獲得一已除錯之攜帶式可執行檔。一第三軟體模組可由該處理器及該記憶體執行。該第三軟體模組用以在對該已編碼之攜帶式可執行檔執行該除錯過程期間,收集一導入位址表資料與一重定位表資料至少其中之一。一第四軟體模組可由該處理器及該記憶體執行。該第四軟體模組用以複製記憶體中之該已除錯之攜帶式可執行檔至一儲存媒體。一第五軟體模組可由該處理器及該記憶體執行。該第五軟體模組用以終止該除錯過程。
可包含以下特徵其中之一或多者。一第六軟體模組可由該處理器及該記憶體執行。該第六軟體模組用以至少部分地根據該已編碼之攜帶式可執行檔之映像基底(ImageBase)欄位資料以及該已編碼之攜帶式可執行檔之進入點位址(AddressOfEntryPoint)資料、以及可能之其他數值計算而確定該已編碼之攜帶式可執行檔之該原始入口點位址,該等可能之其他數值計算至少部分地基於軟體編碼器佈局本身。一第七軟體模組可由該處理器及該記憶體執行。該第七軟體模組用以初始化該除錯過程,包括至少部分地根據該已編碼之攜帶式可執行檔創建一除錯過程。
用以收集該導入位址表資料與該重定位表資料至少其中之一之該第三軟體模組可用以:設置與一函式庫讀取(LoadLibrary)呼叫、一模組處理獲取(GetModuleHandle)呼叫及一程序位址獲取(GetProcAddress)呼叫相關聯之一或多個除錯斷點、以及用於重定位記憶體中之該檔的該軟體編碼器之一部分。一第八軟體模組可由該處理器及該記憶體執行。該第八軟體模組可用以由該計算裝置向該已除錯之攜帶式可執行檔中貼附以下至少其中之一:一導入位址表,其至少部分地基於該等所收集之導入位址表資料;以及一重定位表,其至少部分地基於該等所收集之重定位表資料。用以向該已除錯之攜帶式可執行檔中貼附之該第八軟體模組可用以:添加一新部分至該已除錯之攜帶式可執行檔。
一第九軟體模組可由該處理器及該記憶體執行。該第九軟體模組可用以使該已除錯之攜帶式可執行檔重新對齊。
在附圖及下文說明中闡述一或多種實施方式之細節。根據本說明、附圖及申請專利範圍,其他特徵及優點將變得顯而易見。
熟習此項技術者應理解,本發明可實施為一種系統、方法或電腦程式產品。因此,本發明可為一完全硬體實施例、一完全軟體實施例(包括韌體、駐存軟體、微碼等)、或一將軟體與硬體態樣相結合之實施例之形式,所有此等實施例皆可被統稱為「電路」、「模組」或「系統」。此外,本發明可為電腦程式產品之形式,該電腦程式產品實施於一或多個收錄有電腦可用程式碼之電腦可讀取(即電腦可使用的)媒體中。
可利用一或多個電腦可讀取記錄媒體之任意組合。該電腦可讀取記錄媒體包括一電腦可讀取儲存媒體,電腦可讀取儲存媒體可例如(但不限於)為電性、磁性、光學、電磁、紅外或半導體系統、裝置、器件、或其任意適當組合。實例性電腦可讀取儲存媒體可包括但不限於:攜帶式電腦磁碟、硬碟、固態碟驅動機、隨機存取記憶體(random access memory;RAM)、唯讀記憶體(read-only memory;ROM)、可抹除可程式化唯讀記憶體(erasable programmable read-only memory;EPROM,或快閃記憶體)、光纖、攜帶式光碟唯讀記憶體(compact disc read-only memory;CD-ROM)、光學儲存裝置、磁性儲存裝置、或其任意適當組合。在本文之上下文中,電腦可讀取儲存媒體可為可包含或儲存有一程式之任何媒體,該程式供一指令執行系統、裝置或器件使用或與該指令執行系統、裝置或器件結合使用。
用於執行本發明操作之電腦程式碼可使用諸如Java、Smalltalk、C++或類似之物件導向程式設計語言(object oriented programming language)進行編寫。然而,用於執行本發明操作之電腦程式碼亦可使用諸如「C」程式設計語言或類似程式設計語言等習知程式設計語言進行編寫。程式碼可完全在一單個計算裝置上執行(例如作為一獨立軟體包),及/或可至少部分地在多個可彼此遠離之計算裝置上執行。在後一種情形中,遠程計算裝置可透過一局部區域網路(local area network;LAN)或一廣域網路(wide area network;WAN)相互連接,或者可連接至一或多個遠程計算裝置(例如,利用網際網路服務提供商透過網際網路進行連接)。
以下,將參照根據本發明實施例之方法、裝置(系統)及電腦程式產品之流程圖及/或方塊圖來說明本發明。應理解,可由電腦程式指令執行該等流程圖及/或方塊圖之每一方塊、以及該等流程圖及/或方塊圖中各方塊之組合。該等電腦程式指令可提供給一通用電腦、專用電腦、或其他可程式化資料處理裝置之處理器以形成一機器,俾使該等指令在透過電腦或其他可程式化資料處理裝置之該處理器執行時形成用於執行流程圖及/或方塊圖之一或多個方塊中所規定之功能/動作。
該等電腦程式指令亦可儲存於一電腦可讀取記憶體中,該電腦可讀取記憶體可令一電腦或其他可程式化資料處理裝置以一特定方式運作,俾使儲存於該電腦可讀取記憶體中之指令形成一包含指令構件之製品,該等指令構件執行在流程圖及/或方塊圖之一或多個方塊中所規定之功能/動作。
電腦程式指令亦可加載至一電腦或其他可程式化資料處理裝置中,以在該電腦或其他可程式化裝置上執行一序列操作步驟來形成一由電腦執行之過程,俾使該等指令在該電腦或其他可程式化裝置上執行時提供用於執行在流程圖及/或方塊圖之一或多個方塊中所規定之功能/動作之步驟。
參見第1圖,其顯示可分別駐存於一計算裝置16上並可由計算裝置16執行之有效性檢查過程10、修復過程12及自動化解碼過程14。儘管圖中顯示有效性檢查過程10、修復過程12及自動化解碼過程14中每一者皆駐存於計算裝置12上,然此僅供用於例示目的,乃因有效性檢查過程10、修復過程12及自動化解碼過程14其中之一或多者亦可分別駐存於一單獨之計算裝置上。
計算裝置16之實例可包括但不限於:一個人電腦、一伺服器電腦、一系列伺服器電腦、一迷你電腦及一主機電腦(mainframe computer)。計算裝置16可運行一作業系統,例如 XP或RedLinux。亦可同等地使用各種其他/替代計算裝置及作業系統。舉例而言,計算裝置16可為一分佈式計算網路之一部分,其中完全地或部分地在透過一資料網路(例如LAN、WAN、網際網路等)與計算裝置16相耦合之另一計算裝置上執行有效性檢查過程10、修復過程12及自動化解碼過程14其中之一或多者。
如下文所將更詳細論述,有效性檢查過程100可剖析一攜帶式可執行檔之一二進制影像,以產生一已剖析欄位(parsed field)。有效性檢查過程10亦可確定該已剖析欄位之一屬性。有效性檢查過程10可至少部分地根據一攜帶式可執行檔格式規範(portable executable file format specification),將該已剖析欄位之屬性與一有效對應欄位之一有效特性相比較。有效性檢查過程10亦可判斷該已剖析欄位之該屬性是否與該有效對應欄位之該有效特性相符。
此外,亦如下文所將更詳細論述,修復過程12可辨識一攜帶式可執行檔之一無效欄位。修復過程12亦可確定修復該攜帶式可執行檔之該無效欄位之一可能性。修復過程12可產生一修復模型(repair model),以用於修復該攜帶式可執行檔之該無效欄位。修復過程12可至少部分地根據該修復模型,修復該攜帶式可執行檔之該無效欄位。
同樣地,亦如下文所將更詳細論述,自動化解碼過程14可在一已編碼之攜帶式可執行檔(packed portable executable file)之一原始入口點位址(original entry point address)設置一除錯斷點(debugging point)。自動化解碼過程14亦可對該已編碼之攜帶式可執行檔執行一除錯過程,以在記憶體中獲得一已除錯之攜帶式可執行檔。自動化解碼過程14亦可在對該已編碼之攜帶式可執行檔執行該除錯過程期間,收集一導入位址表資料(import address table data)與重定位表資料(relocation table data)其中之一或多者。自動化解碼過程14可複製記憶體中之該已除錯之攜帶式可執行檔至一儲存媒體,並可終止該除錯過程。
有效性檢查過程10、修復過程12及自動化解碼過程14之指令集及次常式(subroutine)可包括一或多個軟體模組並可儲存於耦合至計算裝置16之儲存裝置18中,此等指令及次常式可由包含於計算裝置16中之一或多個處理器(圖未示出)及一或多個記憶體模組(圖未示出)執行。儲存裝置18可包括但不限於:一硬碟機;一固態驅動機;一磁帶驅動機;一光學驅動機;一RAID陣列;一隨機存取記憶體(RAM);以及一唯讀記憶體(ROM)。
歸因於PE(攜帶式可執行)檔包含可執行碼之事實,可能期望在執行二進制對象(例如,PE檔之二進制影像)之前執行檔檢查。有效性檢查過程10可在一PE二進制影像執行之前分析該PE二進制影像,以判斷該PE檔是否係為一有效二進制影像。一有效二進制影像可係指一可由一給定作業系統使用之檔,其或者為包含可執行碼之影像或者為其他類型之多媒體資訊。
亦參見第2圖,如上文所述,有效性檢查過程10可剖析50一攜帶式可執行檔(例如PE二進制影像20,其駐存於儲存裝置18上,如第1圖所示)之一二進制影像,以產生52一已剖析欄位。有效性檢查過程10亦可確定54該已剖析欄位之一屬性。進一步,有效性檢查過程10可至少部分地根據一攜帶式可執行檔格式規範,將該已剖析欄位之屬性與一有效對應欄位之一有效特性相比較56。有效性檢查過程10亦可判斷58該已剖析欄位之該屬性是否與該有效對應欄位之該有效特性相符。
有效性檢查過程10可剖析50該PE二進制影像20,以產生52一已剖析欄位。有效性檢查過程10可剖析50該PE二進制影像20,以產生52複數個符合PE檔格式100之欄位。舉例而言,有效性檢查過程10可一般將PE二進制影像剖析50成一攜帶式可執行格式簽名(portable executable format signature)、一映像基底(ImageBase)欄位、一影像大小(SizeOfImage)欄位、一檔對齊(FileAlignment)欄位、一部分對齊(SectionAlignment)欄位、一入口點(EntryPoint)位址、一導入表(import table)、一導入位址表(import address table)、一導出表(export table)、一重定位表(relocation table)、一資源表(resource table)、一執行緒本地儲存表(thread local storage table)、一加載配置表(load configuration table)、一邊界導入表(bound import table)、一COM表、以及一攜帶式可執行部分表(portable executable section table)。
儘管上文已指出數個欄位,然而此等欄位僅用於例示目的,乃因有效性檢查過程10可將PE二進制影像20剖析50成根據設計準則及使用者需求而加以選擇之各種其他/替代欄位。另外,剖析50該PE二進制影像20以產生52一或多個已剖析欄位可包括但不限於:以物理方式隔離每一欄位(例如,複製每一欄位於一單獨檔、資料庫欄位等中)、分別讀取每一欄位、使一偏移量與每一欄位之起點(及/或終點)相關聯等等。如此一來,藉由剖析50該PE二進制影像20以產生52一或多個已剖析欄位,便可分別檢查每一欄位。
如上文所述,有效性檢查過程10亦可確定54已剖析欄位之一屬性。有效性檢查過程10所確定54之屬性可包括一欄位辨識符、一欄位長度、及一欄位內容其中之一或多者。舉例而言,有效性檢查過程10可確定54該PE二進制影像20包括一值為0x00400000之ImageBase欄位、一值為0x1000之SectionAlignment欄位及一值為0x200之FileAlignment欄位。
有效性檢查過程10可至少部分地根據一攜帶式可執行檔格式規範,將該已剖析欄位之該一或多個所確定54屬性與一有效對應欄位之一有效特性相比較56。一有效對應欄位可包括由Microsoft公司發佈之「Microsoft攜帶式可執行檔及通用目標檔格式規範(Microsoft Portable Executable and Common Object File Format Specification;PECOFF)」所要求或容許之欄位,且該欄位對應於一已剖析欄位。舉例而言,已剖析ImageBase欄位之一有效對應欄位可係為被PECOFF容許作為一可選Windows專用欄位之ImageBase欄位。一有效對應欄位之一有效特性可包括PECOFF可容許之特性。舉例而言,PECOFF可規定一所接受PE二進制影像之可接受之欄位辨識符、欄位長度及欄位內容。舉例而言,PECOFF可定義一缺設ImageBase值0x00400000,並可要求該值為64K之倍數。同樣地,PECOFF可規定SectionAlignment欄位具有大於或等於FileAlignment之值。進一步,PECOFF可規定FileAlignment具有介於512與64K之間的為2的冪數之值。相應地,上述可為所辨識欄位之有效特性之實例。
有效性檢查過程10可至少部分地根據已剖析欄位之屬性與一有效對應欄位之一有效特性之間的比較56,判斷58該已剖析欄位之該屬性是否與該有效對應欄位之該有效特性相符。繼續說明上述實例,對於PE二進制影像20之FileAlignment欄位,所確定54屬性為512。亦如上所述,PECOFF可規定FileAlignment欄位具有介於512與64K之間的為2的冪數之值。相應地,有效性檢查過程10可確定58已剖析FileAlignment欄位(例如,其值為512)之屬性與一有效FileAlignment欄位之一有效特性相符。
判斷58已剖析欄位之屬性是否與有效對應欄位之有效特性相符可包括判斷60已剖析欄位之屬性是否可有效地用於一預定作業系統。同樣,繼續說明上述實例,有效性檢查過程10可能已確定PE二進制影像20之一ImageBase欄位值為0x00400000。該所確定值可係為Windows NT、Windows 2000、Windows XP、Windows 95、Windows 98及Windows Me作業系統之缺設值。然而,根據PECOFF,Windows CE之ImageBase欄位缺設值係為0x00010000。因此,有效性檢查過程10可確定60該PE二進制影像20之已剖析ImageBase欄位不能有效地用於Windows CE。
有效性檢查過程10可判斷58已剖析欄位是否與有效對應欄位之有效特性不符。繼續說明上述實例,PECOFF規定SectionAlignment欄位具有大於或等於FileAlignment之值。進一步,有效性檢查過程10可能已確定54該PE二進制影像20之一SectionAlignment欄位屬性為256且一FileAlignment欄位屬性為512。因此,由於對於PE二進制影像20,所確定54之SectionAlignment欄位屬性(即256)不大於或等於所確定54之FileAlignment欄位屬性(即512),故有效性檢查過程10可確定58已剖析SectionAlignment欄位不與一有效對應欄位之一有效特性相符(即所確定54之SectionAlignment欄位屬性不大於或等於所確定54之FileAlignment欄位屬性)。因此,有效性檢查過程10可提供一指示符(例如,可在一圖形使用者介面中提供一指示符(圖未示出))。
若已剖析欄位不與有效對應欄位之有效特性相符,則有效性檢查過程10可確定62對與該有效對應欄位之該有效特性不符之該已剖析欄位進行修改而產生一有效欄位之一可能性。有效性檢查過程10可至少部分地根據不與一有效對應欄位之有效特性相符的欄位中錯誤之數目及性質,來確定62對該已剖析欄位進行修改而產生一有效欄位之一可能性。舉例而言,繼續說明上述實例,由於值小於FileAlignment欄位之值,PE二進制影像20之已剖析SectionAlignment欄位不與一有效SectionAlignment欄位之一有效特性相符。有效性檢查過程10可確定62能夠對PE二進制影像20之該SectionAlignment欄位進行修改而產生一有效特性之可能性很大,乃因PE二進制影像20之已剖析SectionAlignment欄位包含單個非常明確之錯誤(即,其值小於FileAlignment欄位)。舉例而言,可將SectionAlignment欄位修改成包含大於或等於FileAlignment欄位之值。儘管可能需要進行某種遞歸測試來修改PE二進制影像20之SectionAlignment欄位以獲得一有效欄位,然而非常有可能可達成此種修改。
可至少部分地根據一或多種經驗法則來確定62對一欄位進行修改而產生一有效欄位之可能性。該一或多種經驗法則可至少部分地基於在各種欄位中可發生之各種可能之錯誤類型以及為修正該等錯誤而可採取之可能修改方式。因此,對於一給定欄位中之一錯誤類型,當可存在的一般能達成一有效欄位之可能修改方式相對很少時,有效性檢查過程10可確定62對該欄位進行修改以產生一有效欄位之可能性相對高。相反,對於具有許多可能修改方式之一錯誤類型,由於其中之許多可能修改方式可能無法達成一有效欄位,故有效性檢查過程10可確定62對該欄位進行修改而產生一有效欄位之可能性相對低。類似地,若在已剖析欄位與一有效對應欄位之間所偵測之錯誤數目相對大,則有效性檢查過程10亦確定62對該欄位進行修改以產生一有效欄位之可能性相對低。
有效性檢查過程10亦可判斷64該攜帶式可執行檔之二進制影像是否包含一動態鏈接庫、一核心驅動程式(kernel driver)或一可執行對象。有效性檢查過程10可藉由根據可能之有效特性及可能之有效欄位對已剖析欄位進行評價,而基於例如所包含欄位、所包含欄位之內容等其中之一或多者而確定64 PE二進制影像20之性質。可類似地確定PE二進制影像20之各種其他/替代特性。舉例而言,有效性檢查過程10可確定以下其中之一或多者:可在其中執行該PE檔之一環境,該PE檔是否係為一控制台(console)或其他具有一圖形使用者介面之應用程式,該PE檔是否包含附屬檔以及該等附屬檔是否存在於目標系統上,該PE檔是否包含附屬功能以及附屬功能是否存在於可在目標系統上得到之庫中,等等。
如上文所簡要說明,有效性檢查過程10可提供一輸出以指示各種已剖析欄位、欄位屬性、欄位之有效性、PE檔之性質等。在一實施例中,有效性檢查過程10可提供一圖形使用者介面,可透過該圖形使用者介面而渲染該等不同之輸出。另外/另一選擇為,有效性檢查過程10可提供一輸出至一資料庫、檔等,進而一使用者可透過一恰當之程式(例如一資料庫應用程式)而使用該輸出。熟習此項技術者將得知各種其他適宜之輸出。
PE二進制影像可能會因各種機制而受損。舉例而言,當PE檔自一個媒體傳送至另一媒體時,該等PE檔可能會受損。類似地,軟體編碼器(例如UPX、PECompact、ASPack等)可能會引入錯誤。軟體編碼器所引入之錯誤可能會使某些檔僅對於某些能支援PE檔格式之作業系統版本有效。相應地,可執行修復過程12來修復受損之PE檔。
亦參照第3圖,修復過程12可辨識100一攜帶式可執行檔(例如,第1圖所示之PE二進制檔20)之一無效欄位。此外,修復過程12可確定102對攜帶式可執行檔之無效欄位進行修復之一可能性。修復過程12可產生104一修復模型,該修復模型用於修復攜帶式可執行檔之無效欄位。修復過程12可至少部分地根據修復過程12所產生104之修復模型而修復106攜帶式可執行檔之無效欄位。
修復過程12可利用各種機制來辨識100 PE二進制影像20之一無效欄位。舉例而言,修復過程12可自有效性檢查過程10(已詳述於上文中)接收108一指示符,該指示符指示PE二進制影像20及/或PE二進制影像20之子集部分(即,PE二進制影像20之各個欄位之有效性)之有效性。修復過程12可直接自有效性檢查過程10接收108指示符。另外/另一選擇為,在其中有效性檢查過程10可產生一有效性報告(例如,以一檔案、資料庫表項或類似之形式)之一實施例中,修復過程12可藉由存取110該有效性報告並解譯其內容而辨識100一無效欄位(及/或複數個無效欄位)。
在其他實施例中,修復過程12可藉由對PE二進制影像20執行一或多次有效性檢查而辨識100 PE二進制影像20之一無效欄位。舉例而言,修復過程12可按類似於上文參照有效性檢查過程10所述之方式,對PE二進制影像20執行一或多次有效性檢查。舉例而言,修復過程12可大體將PE二進制影像20剖析成複數個欄位,並可將該等欄位之屬性與有效對應欄位之有效特性相比較。如上文所述,有效對應欄位之有效特性可由PECOFF規定。相應地,可至少部分地根據該等各個欄位及屬性是否符合PECOFF而確定欄位之有效性(及/或PE二進制影像20整體之有效性)。因此,修復過程12可將一無效欄位辨識100為所具有之一屬性不符合PECOFF所規定之一有效對應欄位之一有效特性之欄位。
當辨識100一無效欄位時,修復過程12可檢查PE二進制影像20之所有欄位,及/或可特別關注PE二進制影像20之最緊要欄位。可能特別重要之欄位(例如,其可對PE二進制影像20具有最大影響)之實例可包括但不限於:PE格式簽名、PE專用欄位(例如ImageBase、SizeOfImage、FileAlignment、SectionAlignment及EntryPoint位址)以及PE專用表(例如導入表、導入位址表、導出表、一重定位表、一資源表、執行緒本地儲存表、加載配置表、邊界導入表、COM表以及PE部分表(PE section table))。
如上文所述,修復過程12可確定102對PE二進制影像20之該無效欄位(或多個無效欄位)進行修復之一可能性。修復過程12可至少部分地根據對該無效欄位中與一有效對應欄位之一有效特性不符之屬性之數目及特性之確定114而確定102對PE二進制影像20之無效欄位進行修復之一可能性,所述確定114係至少部分地根據一攜帶式可執行檔格式規範(例如PECOFF)而進行。舉例而言,需說明者,不同之錯誤可具有較其他錯誤為高之可修復可能性。類似地,具有相對很少之錯誤之一PE檔可具有較具有相對大量錯誤之一PE檔為高之可修復可能性。
修復過程12可確定102修復一無效欄位之可能性,包括將所辨識100之無效欄位(包括不符合PECOFF之無效欄位之屬性)與一可能錯誤之庫相比較,並確定能修復錯誤之可能性。該可能錯誤之庫(例如駐存於儲存裝置18上之函式庫22)可包括先前已遇到的各種錯誤之經驗資料以及是否可修復錯誤而獲得一可執行檔。
如上文所述,修復過程12可產生104一修復模型,該修復模型用於修復所辨識100之無效欄位。修復過程12所產生104之修復模型可包含一或多種用於修復該一或多個所辨識100之無效欄位之演算法。類似於對修復無效欄位之可能性之確定102,修復過程12可至少部分地根據一或多個經驗法則(例如,可包含於函式庫22中)而產生104修復模型。舉例而言,修復過程12可產生104一用於修復具異常值之無效SizeOfImage欄位之修復模型,其中法則可包含重新計算一正確之SizeOfImage值。類似地,修復過程12可產生104一用於修復不包含一可執行屬性之無效入口點部分之修復模型,其中法則可包含修正該等部分之屬性。在又一實例中,修復過程12可產生104一用於修復無法進行物理定位之無效資源表資料之修復模型,其中法則可包含暫時移除PE報頭(header)中之無效資源表值。另外,函式庫22可包含經驗法則,該等經驗法則係基於不同作業系統版本以及該等不同作業系統版本處理該PE檔格式之方式之間的比較而得出。
修復過程12可至少部分地根據修復過程12所產生104之修復模型而修復106攜帶式可執行檔之無效欄位。某些錯誤(即無效欄位)可藉由修改駐存於儲存裝置18上之PE二進制影像20而「在碟上(on disk」)修復。相應地,修復過程12可藉由靜態地修復116無效欄位而修復106該無效欄位。靜態地修復116該無效欄位可包括在儲存裝置18上修改118攜帶式可執行檔之影像(例如PE二進制影像20)。修復過程12可將已修改之PE影像儲存120於儲存裝置18上。
舉例而言,繼續說明上述其中PE欄位SizeOfImage因具有一異常值而被辨識100為無效欄位之實例,修復過程12可靜態地修復PE二進制影像20之SizeOfImage欄位。舉例而言,修復過程可重新計算一正確之SizeOfImage值。修復過程12可將PE二進制影像20修改成包含正確之SizeOfImage值。修復過程12可將已修改之PE二進制影像20儲存於儲存裝置18上。
除可「在碟上」修復之錯誤外,其他錯誤可在記憶體中修復。關於何種錯誤可「在碟上」修復以及何種錯誤可在記憶體中修復之判斷可至少部分地基於經驗法則(例如,可駐存於函式庫22中)。對於可在記憶體中修復之錯誤,修復過程12可動態地修復122無效欄位。為動態地修復122一無效欄位,修復過程12可執行124攜帶式可執行檔(例如,PE二進制影像20)。修復過程12可更修改126在執行期間駐存於記憶體(例如,RAM)中之攜帶式可執行檔,其中在執行期間駐存於記憶體中之攜帶式可執行檔係基於該攜帶式可執行檔(例如,基於PE二進制影像20)。
此外,修復過程可藉由禁用128無效欄位而修復106該無效欄位。舉例而言,修復過程可藉由在執行攜帶式可執行檔之前,自儲存於儲存裝置18上之攜帶式可執行檔之一影像(例如,PE二進制影像20)移除130一無效欄位而暫時禁用128該無效欄位。
在某些實施例中,修復過程12可藉由禁用128一無效欄位並動態地修復122該無效欄位而修復106該無效欄位。舉例而言,參見上述其中無法對資源表資料進行物理定位之實例,修復過程12可暫時地移除130 PE報頭中之無效資源表值。然後,修復過程12可執行124 PE二進制影像20(例如,修復過程12可執行PE二進制影像20之一解碼器)直至該攜帶式可執行檔之原始入口點。該原始入口點可包含在該攜帶式可執行檔受到保護(例如,編碼)之前該攜帶式可執行檔之第一程式指令。一旦PE二進制影像20之執行到達該原始入口點,便可將過程記憶體轉儲(dumped)132至儲存裝置18。換言之,可將與駐存於RAM上之PE二進制影像20之執行相關聯之過程記憶體保存至儲存裝置18。在PE二進制影像20之解碼期間自記憶體擷取之資源表資料可被恢復至一原始狀態,且可儲存一新PE檔,該新PE檔至少部分地基於所轉儲之過程記憶體。相應地,可獲得一有效PE檔(即,一符合PECOFF之PE檔)。
在一實施例中,一PE二進制影像24可包含一已編碼之攜帶式可執行檔。一已編碼之攜帶式可執行檔可包含攜帶式可執行檔(符合PECOFF,如上文所述),該攜帶式可執行檔可包含一或多種軟體保護方式,例如壓縮、加密、壓縮與加密之組合等等。一般而言,自動化解碼過程14可對該已編碼之攜帶式可執行檔執行一除錯過程,並可利用各種斷點及回叫(callback)來收集導入位址表填充資料、以及各種其他可用於根據已編碼(例如,受保護)之PE二進制影像24來構建一未受保護之有效攜帶式可執行檔之資料。
亦參見第4圖,大體而言,自動化解碼過程14可於一已編碼之攜帶式可執行檔(例如,第1圖所示之已編碼PE二進制影像24)之一原始入口點位址設置150一除錯斷點。自動化解碼過程14亦可對該已編碼之攜帶式可執行檔執行152一除錯過程,以在記憶體中(例如,在RAM中)獲得一已除錯之攜帶式可執行檔。自動化解碼過程14可在對該已編碼之攜帶式可執行檔執行152該除錯過程期間,收集154一導入位址表資料與一重定位表資料(relocation table data)至少其中之一。自動化解碼過程14可複製156記憶體中所儲存之該已除錯之攜帶式可執行檔至一儲存媒體(例如儲存裝置18)。自動化解碼過程14可在該攜帶式可執行檔之原始入口點處終止158該除錯過程。
如上文所述,自動化解碼過程14可在已編碼PE二進制影像24之一原始入口點位址設置150一除錯斷點。已編碼PE二進制影像24之原始入口點位址可係為在該檔受到保護之前可執行碼之第一指令。藉由在已編碼PE二進制影像24之原始入口點位址設置150一除錯斷點,便可在將控制傳送至收錄於已編碼PE二進制影像24內之可執行檔之前暫止已編碼PE二進制影像24之執行。本文所述之「已編碼PE二進制影像之執行」及「執行已編碼PE二進制影像」可係指由已編碼PE二進制影像所收錄之檔之執行以及執行由已編碼PE二進制影像所收錄之PE檔。自動化解碼過程14可確定160已編碼攜帶式可執行檔之ImageBase欄位資料以及已編碼攜帶式可執行檔之AddressOfEntryPoint資料。ImageBase欄位資料以及AddressOfEntryPoint資料可自已編碼PE二進制影像24加載。已編碼PE二進制影像24之原始入口點位址可係為ImageBase資料與AddressOfEntryPoint資料之和。確定原始入口點可另外包含其他數值計算,該等數值計算可至少部分地基於軟體編碼器佈局本身。自動化解碼過程14可自已編碼PE二進制影像24載入各種其他資料,例如但不限於:ImageBase資料、SizeOfImage資料及PE部分資料。
自動化解碼過程14可初始化162該除錯過程。初始化162該除錯過程之步驟可包括至少部分地根據已編碼之PE二進制影像24創建一除錯過程。換言之,初始化162該除錯過程之步驟可建立一可在其中執行已編碼PE二進制影像24之除錯環境。在該初始化除錯過程中,自動化解碼過程14可在原始入口點上設置150一除錯斷點。在執行收錄於已編碼PE二進制影像24內之可執行檔之第一指令之前,一旦已除錯之過程結束加載,便將調用原始入口點上設置之除錯斷點。
自動化解碼過程14可執行152該已初始化之除錯過程。換言之,可在所建立之除錯環境內執行已編碼之PE二進制影像24。自動化解碼過程14可收集154一導入位址表資料與一重定位表資料至少其中之一。收集154一導入位址表資料與一重定位表資料至少其中之一之步驟可包括運行該除錯過程,直至其到達導入位址表填充碼。部分地,自動化解碼過程14可藉由設置164與一函式庫讀取(LoadLibrary)呼叫、一模組處理獲取(GetModuleHandle)呼叫及一程序位址獲取(GetProcAddress)呼叫相關聯之一或多個除錯斷點而收集154一導入位址表資料與一重定位表資料至少其中之一。其他斷點亦可與用於對記憶體中之檔進行重定位之軟體編碼器之一部分相關聯。在某些實施例中,與一函式庫讀取(LoadLibrary)呼叫、一模組處理獲取(GetModuleHandle)呼叫及一程序位址獲取(GetProcAddress)呼叫相關聯之斷點可在除錯過程之初始化162期間設置。
在除錯過程內執行之已編碼PE二進制影像24可利用一LoadLibrary API呼叫或一GetModuleHandle API呼叫,以加載一附屬動態鏈接庫。設置164與一LoadLibrary呼叫或一GetModuleHandle呼叫相關聯之一或多個斷點可使得當正在執行之已編碼PE二進制影像24加載一動態鏈接庫時回叫自動化解碼過程14。因應與一LoadLibrary呼叫或一GetModuleHandle呼叫相關聯之斷點回叫,自動化解碼過程14可收集154藉由執行已編碼PE二進制影像24而載入之動態鏈接庫之名稱。
類似地,在除錯過程中執行之已編碼PE二進制影像24可利用一GetProcAddress API呼叫以找到所需API(應用程式設計介面)之位置。設置164與一GetModuleHandle API呼叫相關聯之一或多個斷點可使得當正在執行之已編碼PE二進制影像24加載所需API之位址時回叫自動化解碼過程14。因應與一GetModuleHandle API呼叫相關聯之斷點回叫,自動化解碼過程14可收集154藉由執行已編碼PE二進制影像24而得到定位之API位址。正在執行之已編碼PE二進制影像24可在二位置處呼叫GetProcAddress API,例如,用於字符串API定位及序數API定位。自動化解碼過程14可設置164與每一GetProcAddress API呼叫相關聯之一斷點。自動化解碼過程14可添加藉由GetProcAddress API呼叫所定位之API之位置至最新收集之動態鏈接庫。
自動化解碼過程14可自記憶體(例如RAM)複製156一已除錯之PE檔至一電腦可讀取記錄媒體(例如儲存裝置18)。一旦在除錯環境內執行之已編碼PE二進制影像24到達其中所收錄之可執行檔之原始入口點,該檔之解碼便可實質上完成。換言之,該檔可被解壓縮及/或解密等(端視與已編碼PE二進制影像24相關聯之保護之性質而定)。因此,此時,一已解碼之PE檔可駐存於與計算裝置16相關聯之記憶體中(例如,如第1圖所示位於記憶體26中之PE)。自動化解碼過程14可複製記憶體26中之已解碼PE例如至一駐存於儲存媒體18上之檔。因此,自動化解碼過程14可至少部分地根據已編碼PE二進制影像24而創建已儲存之PE 28,該已儲存之PE 28可係為一已解碼攜帶式可執行檔之至少一部分。
自動化解碼過程14可貼附166一導入位址表與一重定位表至少其中之一至已除錯之攜帶式可執行檔(例如,已儲存之PE 28),該導入位址表係至少部分地基於所收集154之導入位址表資料,該重定位表則至少部分地基於所收集154之重定位表資料。舉例而言,自動化解碼過程14可至少部分地根據自動化解碼過程14在除錯過程之執行152(例如,其可包括在一除錯環境內執行已編碼PE二進制影像24)期間所收集154之導入位址表資料及重定位表資料而構造一導入位址表與一重定位表至少其中之一。
貼附166一至少部分地基於所收集154之導入位址表資料之導入位址表與一至少部分地基於所收集154之重定位表資料之重定位表至少其中之一至已除錯之攜帶式可執行檔(例如,已儲存之PE 28)可包含添加168一新部分至已除錯之攜帶式可執行檔。舉例而言,已儲存之PE 28可不包含一用於一導入位址表之部分及/或一用於一重定位表之部分。相應地,自動化解碼過程14可在已儲存之PE 28內騰出用於一導入位址表及/或用於一重定位表之空間(例如,藉由在已儲存之PE 28內添加168一用於一導入位址表及/或一重定位表之適當部分)。接著,自動化解碼過程14可貼附166該導入位址表及/或該重定位表至已儲存PE 28之恰當位置。
一旦已貼附166該導入位址表及/或該重定位表至已儲存之PE 28,自動化解碼過程14便可使已除錯之PE檔(例如,已儲存之PE 28)重新對齊170。一般而言,使已除錯之PE檔重新對齊170可包含壓縮該檔並驗證該檔係為一有效影像,例如,此可包含驗證該檔之各別PE部分之物理尺寸是否正確且盡可能小。另外,自動化解碼過程14可讀取、寫入及執行已除錯PE檔(例如,已儲存之PE 28)之所有部分屬性。因此,自動化解碼過程14可創建一有效PE檔,該有效PE檔可實質類似於編碼之前(即,在修改經軟體保護及/或壓縮之檔之前)之已編碼PE二進制影像24。
在解碼過程完成後,自動化解碼過程14可在原始入口點終止158對已編碼PE二進制影像25之除錯。
儘管上文係論述各種分立之過程,然而如此分開論述係為了易於說明。該等分立之過程(及/或其部分)可包含一較大應用程式之可交互作用之各模組。另外,該等過程之各特徵及步驟可與本文所述其他過程之特徵及步驟結合使用。因此,本發明不應被視為僅限於上文所述之分立過程。
上文已闡述了本發明之多種實施方式。然而,應理解,可對其作出各種修飾。因此,其他實施方式亦處於下文申請專利範圍之範疇內。
10...有效性檢查過程
12...修復過程
14...自動化解碼過程
16...計算裝置
18...儲存裝置
20...PE二進制影像
22...函式庫
24...PE二進制影像
26...記憶體
28...已儲存之PE
第1圖示意性地繪示一計算裝置,該計算裝置可執行一有效性檢查過程、一修復過程及一自動化解碼過程其中之一或多者;
第2圖係為由第1圖之有效性檢查過程執行之一過程之流程圖;
第3圖係為由第1圖之修復過程執行之一過程之流程圖;以及
第4圖係為由第1圖之自動化解碼過程執行之一過程之流程圖。

Claims (21)

  1. 一種由電腦執行之方法,包含:由一計算裝置在一已編碼之攜帶式可執行檔(packed portable executable file)之一原始入口點位址(original entry point address)設置一除錯斷點(debugging point);由該計算裝置對該已編碼之攜帶式可執行檔執行一除錯過程,以在記憶體中獲得一已除錯之攜帶式可執行檔;在對該已編碼之攜帶式可執行檔執行該除錯過程期間,由該計算裝置收集一導入位址表資料(import address table data)與一重定位表資料(relocation table data)至少其中之一;由該計算裝置複製記憶體中之該已除錯之攜帶式可執行檔至一儲存媒體;以及由該計算裝置終止該除錯過程。
  2. 如請求項1所述之由電腦執行之方法,更包含:由該計算裝置至少部分地根據該已編碼之攜帶式可執行檔之映像基底(ImageBase)欄位資料以及該已編碼之攜帶式可執行檔之進入點位址(AddressOfEntryPoint)資料,確定該已編碼之攜帶式可執行檔之該原始入口點位址。
  3. 如請求項1所述之由電腦執行之方法,更包含:由該計算裝置初始化該除錯過程,包括至少部分地根據該已編碼之攜帶式可執行檔創建一除錯過程。
  4. 如請求項1所述之由電腦執行之方法,其中收集該導入位址表資料與該重定位表資料至少其中之一之步驟包括:設置與一函式庫讀取(LoadLibrary)呼叫、一模組處理獲取(GetModuleHandle)呼叫及一程序位址獲取(GetProcAddress)呼叫相關聯之一或多個除錯斷點。
  5. 如請求項1所述之由電腦執行之方法,更包含由該計算裝置向該已除錯之攜帶式可執行檔中貼附以下至少其中之一:一導入位址表,其至少部分地基於該等所收集之導入位址表資料;以及一重定位表,其至少部分地基於該等所收集之重定位表資料。
  6. 如請求項5所述之由電腦執行之方法,其中向該已除錯之攜帶式可執行檔中貼附之步驟包括:添加一新部分至該已除錯之攜帶式可執行檔。
  7. 如請求項1所述之由電腦執行之方法,更包含:由該計算裝置使該已除錯之攜帶式可執行檔重新對齊(realigning)。
  8. 一種電腦程式產品,包含一儲存有複數個指令之電腦可讀取記錄媒體,該等指令在由一處理器執行時,使該處理器執行包含以下之操作:在一已編碼之攜帶式可執行檔之一原始入口點位址設置一除錯斷點;對該已編碼之攜帶式可執行檔執行一除錯過程,以在記憶體中獲得一已除錯之攜帶式可執行檔;在對該已編碼之攜帶式可執行檔執行該除錯過程期間,收集一導入位址表資料與一重定位表資料至少其中之一;複製記憶體中之該已除錯之攜帶式可執行檔至一儲存媒體;以及終止該除錯過程。
  9. 如請求項8所述之電腦程式產品,更包含用於以下之指令:至少部分地根據該已編碼之攜帶式可執行檔之映像基底(ImageBase)欄位資料以及該已編碼之攜帶式可執行檔之進入點位址(AddressOfEntryPoint)資料,確定該已編碼之攜帶式可執行檔之該原始入口點位址。
  10. 如請求項8所述之電腦程式產品,更包含用於以下之指令:初始化該除錯過程,包括至少部分地根據該已編碼之攜帶式可執行檔創建一除錯過程。
  11. 如請求項8所述之電腦程式產品,其中收集該導入位址表資料與該重定位表資料至少其中之一之步驟包括:設置與一函式庫讀取(LoadLibrary)呼叫、一模組處理獲取(GetModuleHandle)呼叫及一程序位址獲取(GetProcAddress)呼叫相關聯之一或多個除錯斷點。
  12. 如請求項8所述之電腦程式產品,更包含用於向該已除錯之攜帶式可執行檔中貼附以下至少其中之一指令:一導入位址表,其至少部分地基於該等所收集之導入位址表資料;以及一重定位表,其至少部分地基於該等所收集之重定位表資料。
  13. 如請求項12所述之電腦程式產品,其中向該已除錯之攜帶式可執行檔中貼附包括:添加一新部分至該已除錯之攜帶式可執行檔。
  14. 如請求項8所述之電腦程式產品,更包含用於使該已除錯之攜帶式可執行檔重新對齊(realigning)之指令。
  15. 一種系統,包含:一處理器;一記憶體,耦接該處理器;一第一軟體模組,可由該處理器及該記憶體執行,該第一軟體模組用以在一已編碼之攜帶式可執行檔之一原始入口點位址設置一除錯斷點;一第二軟體模組,可由該處理器及該記憶體執行,該第二軟體模組用以對該已編碼之攜帶式可執行檔執行一除錯過程,以在記憶體中獲得一已除錯之攜帶式可執行檔;一第三軟體模組,可由該處理器及該記憶體執行,該第三軟體模組用以在對該已編碼之攜帶式可執行檔執行該除錯過程期間,收集一導入位址表資料與一重定位表資料至少其中之一;一第四軟體模組,可由該處理器及該記憶體執行,該第四軟體模組用以複製記憶體中之該已除錯之攜帶式可執行檔至一儲存媒體;以及一第五軟體模組,可由該處理器及該記憶體執行,該第五軟體模組用以終止該除錯過程。
  16. 如請求項15所述之系統,更包含可由該處理器及該記憶體執行之一第六軟體模組,該第六軟體模組用以至少部分地根據該已編碼之攜帶式可執行檔之映像基底(ImageBase)欄位資料以及該已編碼之攜帶式可執行檔之進入點位址(AddressOfEntryPoint)資料,確定該已編碼之攜帶式可執行檔之該原始入口點位址。
  17. 如請求項15所述之系統,更包含可由該處理器及該記憶體執行之一第七軟體模組,該第七軟體模組用以初始化該除錯過程,包括至少部分地根據該已編碼之攜帶式可執行檔創建一除錯過程。
  18. 如請求項15所述之系統,其中用以收集該導入位址表資料與該重定位表資料至少其中之一之該第三軟體模組係用以:設置與一函式庫讀取(LoadLibrary)呼叫、一模組處理獲取(GetModuleHandle)呼叫及一程序位址獲取(GetProcAddress)呼叫相關聯之一或多個除錯斷點。
  19. 如請求項15所述之系統,更包含可由該處理器及該記憶體執行之一第八軟體模組,該第八軟體模組用以由該計算裝置向該已除錯之攜帶式可執行檔中貼附以下至少其中之一:一導入位址表,其至少部分地基於該等所收集之導入位址表資料;以及一重定位表,其至少部分地基於該等所收集之重定位表資料。
  20. 如請求項19所述之系統,其中用以向該已除錯之攜帶式可執行檔中貼附之該第八軟體模組係用以:添加一新部分至該已除錯之攜帶式可執行檔。
  21. 如請求項15所述之系統,更包含可由該處理器及該記憶體執行之一第九軟體模組,該第九軟體模組用以使該已除錯之攜帶式可執行檔重新對齊(realigning)。
TW099125055A 2009-07-29 2010-07-29 自動化解碼攜帶式可執行檔之系統、方法及其電腦程式產品 TWI494751B (zh)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
US22949709P 2009-07-29 2009-07-29

Publications (2)

Publication Number Publication Date
TW201128385A TW201128385A (en) 2011-08-16
TWI494751B true TWI494751B (zh) 2015-08-01

Family

ID=43033144

Family Applications (3)

Application Number Title Priority Date Filing Date
TW099125053A TW201128383A (en) 2009-07-29 2010-07-29 Portable executable file analysis
TW099125055A TWI494751B (zh) 2009-07-29 2010-07-29 自動化解碼攜帶式可執行檔之系統、方法及其電腦程式產品
TW099125054A TWI482013B (zh) 2009-07-29 2010-07-29 修復攜帶式可執行檔之系統、方法及其電腦程式產品

Family Applications Before (1)

Application Number Title Priority Date Filing Date
TW099125053A TW201128383A (en) 2009-07-29 2010-07-29 Portable executable file analysis

Family Applications After (1)

Application Number Title Priority Date Filing Date
TW099125054A TWI482013B (zh) 2009-07-29 2010-07-29 修復攜帶式可執行檔之系統、方法及其電腦程式產品

Country Status (10)

Country Link
US (5) US8826071B2 (zh)
EP (3) EP2460076B1 (zh)
CA (3) CA2806370C (zh)
ES (3) ES2644856T3 (zh)
HR (3) HRP20171470T1 (zh)
HU (2) HUE038328T2 (zh)
NO (2) NO2460075T3 (zh)
PT (3) PT2460113T (zh)
TW (3) TW201128383A (zh)
WO (3) WO2011014625A1 (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9858072B2 (en) 2009-07-29 2018-01-02 Reversinglabs Corporation Portable executable file analysis

Families Citing this family (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8607094B2 (en) * 2009-09-29 2013-12-10 Hyundai Motor Company Operational system test method
US10445309B2 (en) * 2009-11-13 2019-10-15 Ab Initio Technology Llc Managing record format information
US8756695B1 (en) * 2010-10-26 2014-06-17 Emc Corporation Analysis of binary code
US9158605B2 (en) * 2010-12-01 2015-10-13 Microsoft Technology Licensing, Llc Method, system and device for validating repair files and repairing corrupt software
US9019850B2 (en) * 2011-04-11 2015-04-28 Qualcomm Incorporated CSI reporting for multiple carriers with different system configurations
US9009678B2 (en) * 2011-06-28 2015-04-14 International Business Machines Corporation Software debugging with execution match determinations
CN102507682B (zh) * 2011-10-27 2013-09-18 浙江大学 一种基于银/纳米银的溶解硫化氢探测电极的制备方法
US9047293B2 (en) 2012-07-25 2015-06-02 Aviv Grafi Computer file format conversion for neutralization of attacks
CN103632088A (zh) * 2012-08-28 2014-03-12 阿里巴巴集团控股有限公司 一种木马检测方法及装置
CN103019739B (zh) * 2012-12-28 2015-07-29 北京神州绿盟信息安全科技股份有限公司 重定位表的修复方法、程序脱壳方法及相关装置
CN103077029B (zh) * 2012-12-28 2016-07-13 北京神州绿盟信息安全科技股份有限公司 一种导入表的修复方法及装置
US9841959B2 (en) * 2015-02-02 2017-12-12 Google Llc Fine-grained demand driven IPO infrastructure
US9742796B1 (en) * 2015-09-18 2017-08-22 Palo Alto Networks, Inc. Automatic repair of corrupt files for a detonation engine
US10032914B2 (en) * 2015-10-20 2018-07-24 Taiwan Semiconductor Manufacturing Co., Ltd. Semiconductor device and manufacturing method thereof
RU2606559C1 (ru) * 2015-10-22 2017-01-10 Акционерное общество "Лаборатория Касперского" Система и способ оптимизации антивирусной проверки файлов
US9858424B1 (en) 2017-01-05 2018-01-02 Votiro Cybersec Ltd. System and method for protecting systems from active content
CN108614680A (zh) * 2016-12-14 2018-10-02 中国航空工业集团公司西安航空计算技术研究所 一种信息查询命令程序的自动生成方法和系统
US10013557B1 (en) 2017-01-05 2018-07-03 Votiro Cybersec Ltd. System and method for disarming malicious code
US10331890B2 (en) 2017-03-20 2019-06-25 Votiro Cybersec Ltd. Disarming malware in protected content
US10331889B2 (en) 2017-01-05 2019-06-25 Votiro Cybersec Ltd. Providing a fastlane for disarming malicious content in received input content
CN111796850B (zh) * 2020-07-20 2021-05-11 上海航天电子通讯设备研究所 一种卫星载荷软件在轨维护设备及方法
CN115145571A (zh) * 2021-03-31 2022-10-04 武汉斗鱼鱼乐网络科技有限公司 在程序核心代码中隐藏系统函数调用的方法、装置和介质

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1998033106A1 (en) * 1997-01-29 1998-07-30 Shopnow.Com, Inc. Method and system for injecting new code into existing application code
US5892904A (en) * 1996-12-06 1999-04-06 Microsoft Corporation Code certification for network transmission
US5953534A (en) * 1997-12-23 1999-09-14 University Of Washington Environment manipulation for executing modified executable and dynamically-loaded library files
US5983366A (en) * 1997-03-19 1999-11-09 Optimay Corporation Data processing system having monitoring of software activity
TW446872B (en) * 1999-08-26 2001-07-21 Mitac Int Corp Detection method of boot-up virus
TW451125B (en) * 1999-11-06 2001-08-21 Mitac Int Corp Tracking and inspecting method for files infected with computer virus
US7058928B2 (en) * 1999-12-23 2006-06-06 Identify Software Ltd. System and method for conditional tracing of computer programs

Family Cites Families (52)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4533997A (en) * 1972-08-25 1985-08-06 Westinghouse Electric Corp. Computer monitored or controlled system which may be modified and de-bugged on-line by one not skilled in computer programming
US3987420A (en) 1973-12-28 1976-10-19 Ing. C. Olivetti & C., S.P.A. Electronic computer with equipment for debugging operative programs
US5892900A (en) 1996-08-30 1999-04-06 Intertrust Technologies Corp. Systems and methods for secure transaction management and electronic rights protection
US5812848A (en) * 1995-08-23 1998-09-22 Symantec Corporation Subclassing system for computer that operates with portable-executable (PE) modules
US6367012B1 (en) * 1996-12-06 2002-04-02 Microsoft Corporation Embedding certifications in executable files for network transmission
US6026235A (en) 1997-05-20 2000-02-15 Inprise Corporation System and methods for monitoring functions in natively compiled software programs
US6202199B1 (en) * 1997-07-31 2001-03-13 Mutek Solutions, Ltd. System and method for remotely analyzing the execution of computer programs
US5983348A (en) * 1997-09-10 1999-11-09 Trend Micro Incorporated Computer network malicious code scanner
US6802006B1 (en) * 1999-01-15 2004-10-05 Macrovision Corporation System and method of verifying the authenticity of dynamically connectable executable images
US6640317B1 (en) 2000-04-20 2003-10-28 International Business Machines Corporation Mechanism for automated generic application damage detection and repair in strongly encapsulated application
US7146531B2 (en) 2000-12-28 2006-12-05 Landesk Software Limited Repairing applications
US7096368B2 (en) 2001-08-01 2006-08-22 Mcafee, Inc. Platform abstraction layer for a wireless malware scanning engine
US6792543B2 (en) 2001-08-01 2004-09-14 Networks Associates Technology, Inc. Virus scanning on thin client devices using programmable assembly language
US7043596B2 (en) 2001-08-17 2006-05-09 Sun Microsystems, Inc. Method and apparatus for simulation processor
US20030070087A1 (en) 2001-10-05 2003-04-10 Dmitry Gryaznov System and method for automatic updating of multiple anti-virus programs
TWI310919B (en) 2002-01-11 2009-06-11 Sap Ag Context-aware and real-time item tracking system architecture and scenariors
US7181603B2 (en) * 2002-03-12 2007-02-20 Intel Corporation Method of secure function loading
US7818657B1 (en) * 2002-04-01 2010-10-19 Fannie Mae Electronic document for mortgage transactions
US7174320B2 (en) 2002-04-04 2007-02-06 Intel Corporation Method of providing adaptive security
US7367056B1 (en) * 2002-06-04 2008-04-29 Symantec Corporation Countering malicious code infections to computer files that have been infected more than once
GB2389432B (en) * 2002-06-07 2005-09-07 Advanced Risc Mach Ltd Instruction tracing in data processing systems
US7478431B1 (en) * 2002-08-02 2009-01-13 Symantec Corporation Heuristic detection of computer viruses
US7076774B2 (en) 2002-09-10 2006-07-11 Microsoft Corporation Infrastructure for generating a downloadable, secure runtime binary image for a secondary processor
US8219801B2 (en) 2003-03-10 2012-07-10 International Business Machines Corporation Method of authenticating digitally encoded products without private key sharing
US7123141B2 (en) * 2003-08-20 2006-10-17 Contestabile Robert A Electronic monitoring systems and methods
US8042179B2 (en) * 2003-09-04 2011-10-18 Science Park Corporation False code execution prevention method, program for the method, and recording medium for recording the program
US7549148B2 (en) 2003-12-16 2009-06-16 Microsoft Corporation Self-describing software image update components
US7620990B2 (en) * 2004-01-30 2009-11-17 Microsoft Corporation System and method for unpacking packed executables for malware evaluation
US7523343B2 (en) 2004-04-30 2009-04-21 Microsoft Corporation Real-time file system repairs
US7349931B2 (en) * 2005-04-14 2008-03-25 Webroot Software, Inc. System and method for scanning obfuscated files for pestware
US8606950B2 (en) 2005-06-08 2013-12-10 Logitech Europe S.A. System and method for transparently processing multimedia data
CN101228509B (zh) 2005-07-27 2010-05-26 松下电器产业株式会社 生成执行二进制图像的装置及方法
US8161548B1 (en) * 2005-08-15 2012-04-17 Trend Micro, Inc. Malware detection using pattern classification
US7725737B2 (en) 2005-10-14 2010-05-25 Check Point Software Technologies, Inc. System and methodology providing secure workspace environment
US7546412B2 (en) * 2005-12-02 2009-06-09 International Business Machines Corporation Apparatus, system, and method for global metadata copy repair
US8479174B2 (en) * 2006-04-05 2013-07-02 Prevx Limited Method, computer program and computer for analyzing an executable computer file
US7594136B2 (en) 2006-04-19 2009-09-22 Microsoft Corporation Paging-triggered corrupted file recovery
US7814544B1 (en) * 2006-06-22 2010-10-12 Symantec Corporation API-profile guided unpacking
US20080101381A1 (en) 2006-10-25 2008-05-01 Mediatek Inc. Address resolution protocol (arp) cache management methods and devices
US7797743B2 (en) * 2007-02-26 2010-09-14 Microsoft Corporation File conversion in restricted process
WO2008146475A1 (ja) 2007-06-01 2008-12-04 Panasonic Corporation 記録装置
US20090013405A1 (en) * 2007-07-06 2009-01-08 Messagelabs Limited Heuristic detection of malicious code
US8769268B2 (en) 2007-07-20 2014-07-01 Check Point Software Technologies, Inc. System and methods providing secure workspace sessions
US8037536B2 (en) 2007-11-14 2011-10-11 Bank Of America Corporation Risk scoring system for the prevention of malware
KR100942795B1 (ko) * 2007-11-21 2010-02-18 한국전자통신연구원 악성프로그램 탐지장치 및 그 방법
US8627302B2 (en) * 2007-11-27 2014-01-07 Oracle America, Inc. Sampling based runtime optimizer for efficient debugging of applications
US7996904B1 (en) * 2007-12-19 2011-08-09 Symantec Corporation Automated unpacking of executables packed by multiple layers of arbitrary packers
US8782615B2 (en) * 2008-04-14 2014-07-15 Mcafee, Inc. System, method, and computer program product for simulating at least one of a virtual environment and a debugging environment to prevent unwanted code from executing
US8073840B2 (en) 2008-06-17 2011-12-06 Attivio, Inc. Querying joined data within a search engine index
CA2806370C (en) 2009-07-29 2019-07-09 Reversinglabs Corporation Automated unpacking of portable executable files
US8510615B2 (en) 2009-10-22 2013-08-13 Xerox Corporation Virtual repair of digital media
US9349103B2 (en) 2012-01-09 2016-05-24 DecisionQ Corporation Application of machine learned Bayesian networks to detection of anomalies in complex systems

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5892904A (en) * 1996-12-06 1999-04-06 Microsoft Corporation Code certification for network transmission
WO1998033106A1 (en) * 1997-01-29 1998-07-30 Shopnow.Com, Inc. Method and system for injecting new code into existing application code
US5983366A (en) * 1997-03-19 1999-11-09 Optimay Corporation Data processing system having monitoring of software activity
US5953534A (en) * 1997-12-23 1999-09-14 University Of Washington Environment manipulation for executing modified executable and dynamically-loaded library files
TW446872B (en) * 1999-08-26 2001-07-21 Mitac Int Corp Detection method of boot-up virus
TW451125B (en) * 1999-11-06 2001-08-21 Mitac Int Corp Tracking and inspecting method for files infected with computer virus
US7058928B2 (en) * 1999-12-23 2006-06-06 Identify Software Ltd. System and method for conditional tracing of computer programs

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9858072B2 (en) 2009-07-29 2018-01-02 Reversinglabs Corporation Portable executable file analysis
US10261783B2 (en) 2009-07-29 2019-04-16 Reversing Labs Holding Gmbh Automated unpacking of portable executable files

Also Published As

Publication number Publication date
EP2460075B1 (en) 2017-11-22
HRP20180689T1 (hr) 2018-06-15
US9389947B2 (en) 2016-07-12
CA2806368A1 (en) 2011-02-03
US10261783B2 (en) 2019-04-16
US9858072B2 (en) 2018-01-02
ES2660538T3 (es) 2018-03-22
WO2011014625A1 (en) 2011-02-03
ES2644856T3 (es) 2017-11-30
US20160253253A1 (en) 2016-09-01
EP2460076B1 (en) 2018-02-07
NO2460075T3 (zh) 2018-04-21
US9361173B2 (en) 2016-06-07
TW201128385A (en) 2011-08-16
NO2460076T3 (zh) 2018-07-07
US8826071B2 (en) 2014-09-02
PT2460113T (pt) 2017-10-13
EP2460075A1 (en) 2012-06-06
HRP20180306T1 (hr) 2018-03-23
HUE038791T2 (hu) 2018-11-28
CA2806370A1 (en) 2011-02-03
US20160291973A1 (en) 2016-10-06
CA2806368C (en) 2019-04-30
CA2806367C (en) 2019-03-12
PT2460076T (pt) 2018-05-09
CA2806370C (en) 2019-07-09
HRP20171470T1 (hr) 2017-12-29
TW201128383A (en) 2011-08-16
US20110029805A1 (en) 2011-02-03
WO2011014620A1 (en) 2011-02-03
US20110035731A1 (en) 2011-02-10
TWI482013B (zh) 2015-04-21
HUE038328T2 (hu) 2018-10-29
EP2460113A1 (en) 2012-06-06
CA2806367A1 (en) 2011-02-03
WO2011014623A1 (en) 2011-02-03
EP2460076A1 (en) 2012-06-06
US20110066651A1 (en) 2011-03-17
PT2460075T (pt) 2018-02-26
ES2667024T3 (es) 2018-05-09
TW201128384A (en) 2011-08-16
EP2460113B1 (en) 2017-07-05

Similar Documents

Publication Publication Date Title
TWI494751B (zh) 自動化解碼攜帶式可執行檔之系統、方法及其電腦程式產品
TWI482094B (zh) 在程式碼轉換期間異常的精確處理之方法與裝置
KR20130122747A (ko) 손상된 소프트웨어의 치료
US8806446B2 (en) Methods and apparatus for debugging programs in shared memory
US8489946B2 (en) Managing logically bad blocks in storage devices
JP6568012B2 (ja) メモリ管理システム、方法、およびコンピュータ・プログラム
CN116522368A (zh) 一种物联网设备固件解密解析方法、电子设备、介质
Ling et al. GIANTSAN: Efficient Memory Sanitization with Segment Folding
US20220308991A1 (en) Test processing method and information processing apparatus
US10229070B2 (en) Computer-implemented method and a system for encoding a heap application memory state using shadow memory
CN111061591A (zh) 基于存储器完整性检查控制器实现数据完整性检查的系统和方法
CN118194252B (zh) 一种Windows内核驱动程序的保护方法和装置
US20060212858A1 (en) Computer readable medium on which is stored a program for preventing the unauthorized use of program data
CN117234967A (zh) 数据处理方法、装置、存储节点及存储介质