WO2017107706A1

WO2017107706A1 - 基于arm指令虚拟化的elf文件保护方法及系统

Info

Publication number: WO2017107706A1
Application number: PCT/CN2016/106146
Authority: WO
Inventors: 霍亮
Original assignee: 北京奇虎科技有限公司; 奇智软件（北京）有限公司
Priority date: 2015-12-25
Filing date: 2016-11-16
Publication date: 2017-06-29
Also published as: CN105608346A

Abstract

一种基于ARM指令虚拟化的ELF文件保护方法及系统。所述方法包括：将原始函数指令转换成字节码；保存原始函数的寄存器以及堆栈信息，增加跳转指令，并删除其余指令；执行所述跳转指令，跳转至解释引擎以对所述字节码进行解释。由此，通过将原始函数指令虚拟化转换成字节码，增加了破解者的难度，提高了对文件的保护力度。

Description

基于ARM指令虚拟化的ELF文件保护方法及系统

相关申请的交叉参考

本申请主张在2015年12月25日在中国提交的中国专利申请号No.201510996999.4的优先权，其全部内容通过引用包含于此。

技术领域

本发明涉及安全技术领域，特别涉及基于ARM指令虚拟化的ELF文件保护方法及系统。

背景技术

安卓(Android)是一种基于Linux的自由及开放源代码的操作系统，主要使用于移动设备，如智能手机和平板电脑，由Google公司和开放手机联盟领导及开发。安卓平台发展迅速，已经逐渐成为了移动终端的最普及的操作系统，尤其是安卓平台已经深入到了各个领域，包括金融设备这种对安全性要求更高的产品。与其他终端操作系统相比，开放式的安卓系统为应用开发者提供了更多的功能接口，这些功能接口提高了系统的可扩展性，但同时也为恶意软件提供了便利。针对安卓系统的木马等恶意软件可以通过伪装的方式保存在安卓安装包中，骗取用户安装并授予一定的权限，之后通过滥用权限在后台执行一些特定行为，包括窃取用户隐私、骗取资费等行为；不仅如此，对于一些正常的安卓系统应用，也存在通过非法拷贝、逆向工程、反编译、调试、破解、二次打包、内存截取等手段来威胁安卓系统的安全，不仅危害了使用者的利益，也给正常应用开发者造成严重的损害。

目前市面上针对APK(Android Package的缩写，即Android安装包)的保护主要是基于dex(Dalvik VM Executes的简称，即Android Dalvik执行程序)。目前公开的有梆梆、爱加密、ApkProtect等。另一方面，Android平台的共享链接库文件，其扩展名为.so，因此也叫SO文件，采用ELF格式(Executable and Linkable Format：一种用于二进制文件、可执行文件、目标代码、共享库和核心转储的标准文件格式)。针对ELF格式的文件的保护就相对较弱。现有对于ELF文件大多是采用linker方式或者upx(Ultimate Packer for eXecutables:可执行程序文件压缩器)方式，采用upx保护odex(APK中提取出来的可运行文件，即将APK中的classes.dex文件通过dex优化过程将其优化生成一个dex文件单独存放)转换程序。即通过加壳来进行保护。加壳的程序可以有效阻止对程序的反汇编分析，以保护软件版权，防止被软件破解。但是，破解者只需要用upx源代码稍作修改就可以脱壳此程序，其保护力度不够。也有采用猥琐代码来给破解者增加一定的复杂度的方式，即对函数名和字符串加密，并且将loader实现原理从java层全部移到jni(Java Native Interface：Java本地调用)实现，但是loader包和原包完全分离，原包仅为加密文件，可轻易实现内存dump(获取内存信息)。

发明内容

为了解决上述问题，本发明提供一种基于ARM(Advanced RISC Machine：高级精简指令机)指令虚拟化的ELF文件保护方法。

根据本发明的一个方面，提供了一种基于ARM指令虚拟化的ELF文件保护方法，包括：将原始函数指令转换成字节码；保存原始函数的寄存器以及堆栈信息，增加跳转指令，并删除其余指令；跳转至解释引擎以对字节码进行解释。

在一些实施方式中，原始函数指令可被分为多个虚拟化小指令并转换为相应的字节码，所述解释引擎可包括多个子解释单元以对多个虚拟化小指令相应的字节码进行解释。

其有益效果是，原始函数指令多种多样，组织形式也千变万化，解释引擎难以针对每一种具体情况都进行翻译解释。因此，通过对所有可能遇到的指令先进行归类，然后分解为若干简单的虚拟小指令，就可以将这些虚拟小指令交给各个专门的子解释单元去处理，各个子解释单元配合协调完成对整个指令的解释。实施更为简单灵活。

在一些实施方式中，对字节码进行解释采用基于堆栈的虚拟机架构体系。

其有益效果是，基于堆栈的虚拟机架构体系，这种结构的虚拟机体系没有临时变量、寄存器的概念，所有的内容都放入堆栈中，需要频繁的操作堆栈，由于指令中不需要指定操作数，所以其指令相对简单，指令系统简洁，复用性高。

根据本发明的另一个方面，提供了一种基于ARM指令虚拟化的ELF文件保护系统包括：转换单元，将原始函数指令转换成字节码，保存原始函数的跳转指令，寄存器以及堆栈信息，并删除其余指令；跳转单元，执行跳转指令；解释引擎，根据预设的字节码语义对执行所述跳转指令后传入的字节码进行解释。

根据本发明的又一个方面，提供一种计算机程序，其包括计算机可读代码，当计算机可读代码在计算设备上运行时，导致计算设备执行上述的基于ARM指令虚拟化的ELF文件保护方法。

根据本发明的再一个方面，提供一种计算机可读介质，其中存储了上述计算机程序。根据本发明的上述方法和系统，通过将原始函数指令转换成字节码，即将原始函数指令翻译成机器和人都无法识别的一串伪代码字节流，对原始函数进行虚拟化处理，并且删除原始函数指令。这样，破解者在进行破解的时候，由于找不到原始函数指令，只能找到一串伪代码字节流，就必须开发出特定的工具来分析和反编译字节码，这样会相当耗时耗力。如此，通过将原始函数指令虚拟化对ELF文件进行保护，能够增加破译者的破译难度。在具体的执行过程中，通过解释引擎(也称为虚拟机)利用预设的语义对伪代码字节流进行解释，从而能模拟原始函数指令代码并执行。由此提高了对ELF文件的保护力度。在一些实施方式中，解释引擎包括多个子解释单元。

其有益效果是，原始函数指令多种多样，组织形式也千变万化，解释引擎不可能针对每一种具体情况都进行翻译解释，必须对所有可能遇到的指令先进行抽象归类，然后分解为若干简单的小指令，然后交给各个专门的子解释单元去处理，多个子解释单元配合协调工作，完成整个指令的执行。

在一些实施方式中，解释引擎采用基于堆栈的虚拟机架构。

其有益效果是，基于堆栈的虚拟机没有临时变量、寄存器的概念，所有的东西都放入堆栈中，需要频繁的操作堆栈，其使用的虚拟寄存器都保存在堆栈中，每个原始指令的子解释单元都需要push、pop。由于指令中不需要指定操作数，所以其指令相对简单，指令系统简洁，复用性高。

附图概述

图1为本发明一实施方式的基于ARM指令虚拟化的ELF文件保护方法流程图；

图2为本发明一实施方式的基于ARM指令虚拟化的ELF文件保护系统细化实现流程图；

图3为本发明一实施方式的基于ARM指令虚拟化的ELF文件保护系统结构示意图；

图4(a)显示了原始函数的示例，图4(b)显示了该示例的原始函数经过本发明实施例的方法处理后的情况；

图5(a)和(b)分别用于说明在本发明一实施方式的方法中跳转至字节码解释引擎入口的示例；

图6是对多ELF文件的加固保护方法的流程示意图；

图7示意性地示出了用于执行根据本发明实施例的基于ARM指令虚拟化的ELF文件保护方法的计算设备的框图；

图8示意性地示出了用于保持或者携带实现根据本发明实施例的基于ARM指令虚拟化的ELF文件保护方法的程序代码的存储单元。

本发明的较佳实施方式

下面结合附图对本发明的实施方式进行说明。

本技术领域技术人员可以理解，除非特意声明，这里使用的单数形式“一”、“一个”、“所述”和“该”也可包括复数形式。应该进一步理解的是，本发明的说明书中使用的措辞“包括”是指存在所述特征、整数、步骤、操作、元件和/或组件，但是并不排除存在或添加一个或多个其他特征、整数、步骤、操作、元件、组件和/或它们的组。

本技术领域技术人员可以理解，除非另外定义，这里使用的所有术语(包括技术术语和科学术语)，具有与本发明所属领域中的普通技术人员的一般理解相同的意义。还应该理解的是，诸如通用字典中定义的那些术语，应该被理解为具有与现有技术的上下文中的意义一致的意义，并且除非像这里一样被特定定义，否则不会用理想化或过于正式的含义来解释。

需要指出的是，本发明的技术方案，理念上与操作系统的选型无关，对于windows、android、IOS等操作系统均适用。但为了说明的便利，以下将主要以Android为例进行说明。

在安卓系统上，一个可以安装、运行的应用，需要打包成安卓安装包，即APK文件格式。APK文件一般通过安卓应用市场下载、安装到手机上，也可以通过USB数据线等数据线接口或无线数据传输的方式从PC端安装。安卓安装包其实是ZIP文件格式，但后缀名被修改成.apk，可以通过Unzip等工具解压看到其内部文件结构。

Android应用通常是用Java语言开发的，它用Android开发工具编译之后变成了二进制的字节码(byte code)，这些字节码被打包成classes.dex文件，由Android平台的Dalvik虚拟机来解释执行。为了能够调用Android系统功能，Android系统提供了一套运行环境(Android Framework)，Android应用调用系统各功能都是通过调用Android Framework的库来实现的。另一方面，Android系统也支持应用程序通过JNI或者native executable直接运行。此时应用执行的是直接在CPU上运行的二进制机器码，不需要经过虚拟机解释，可以直接调用Android库如libc、WebKit、SQLite、OpenGL/ES等来调用系统各功能。如果Android应用要通过JNI或者native executable运行，就需要将要执行的代码编译成ELF文件格式。ELF是Executable and Linkable Format的缩写，是Android/Linux操作系统中可执行程序、共享库的文件格式。

本申请中，Android平台中ELF文件主要是共享链接库文件，其扩展名为.so，因此也叫SO文件。SO文件的指令格式是ARM体系结构的ARM指令集或Thumb指令集。安卓的SO文件主要充当的角色是通过JNI与Java交互，所以主要是作为一个库存在(也有一些SO文件是可执行的)，然后被Android Runtime加载，并能被Java层调用。SO文件一般存放在APK的lib目录的armeabi子文件夹下。

图1示意性地显示了根据本发明的一种实施方式的基于ARM指令虚拟化的ELF文件保护方法。如图1和2所示，根据本发明的一个方面，基于ARM指令虚拟化的ELF文件保护方法，包括以下步骤：

S1.将原始函数转换成字节码。

将原始函数指令转换为字节码也可称为将原始函数虚拟化。例如，对于指令MOV R5，#3，转换成对应的字节码就是0D 01 03 00 00 00 02 05 00 00 00 04 05 00 00 00，这样就完成了原始函数指令的虚拟化，从而将原始函数指令转换成表面上看起来毫无意义的字节码。机器和人都无法识别，从而需要用特别设置的解释引擎(如特别设置的VMP(Virtual Machine Protect：虚拟机器保护引擎)来解释执行。

S2.保存原始函数的寄存器以及堆栈信息，增加跳转指令，并删除其余指令。

在转换(虚拟化)过程中，原始函数指令全部被虚拟化为字节码。同时，需要保存原始函数对应的寄存器及堆栈信息到一个新的位置。此外，由于在原始函数的指令执行过程中，需要不断更新寄存器信息，故需要在解释指令对应的字节码的时候，也要同时更新被保存的寄存器信息，从而保证寄存器信息在字节码解释过程中的同步及平衡，进而实现模拟原始函数指令执行过程的效果。

解释引擎VMP将所有寄存器都是放在堆栈结构(VM_CONTEXT)当中的，结构中的每一项代表一个寄存器或者临时变量。在本发明的一个实施方式中，将原始函数对应的寄存器及堆栈信息保存在解释引擎VMP入口处。

图4(a)显示一个原始函数的示例，图4(b)显示了该示例的原始函数经过本发明实施例的方法处理后的情况。

图中所示的代码是对原始函数__cxa_f_10x进行虚拟化后的函数。可见原始函数的指令已经全部消失，相对应上述代码中有一些不可识别的字节则是原始函数中指令对应的字节码。如图5(a)所示，方框中的“B loc_8F98” 是一个函数跳转指令，跳转至解释引擎VMP入口中，并保存符号寄存器CPSR的信息。执行该指令将跳转至解释函数进行字节码的解释。

如图5(b)所示，方框中的“BL sub_8FDC”为函数跳转指令，执行该指令即跳转至解释函数以对字节码进行解释。每条指令对应的字节码由0x00进行隔离。

由于原始函数在执行指令时需要更新寄存器信息。例如，指令“MOVER0，#1”就是将R0更新为1。所以在解释字节码的过程中，需要将保存在解释引擎入口的寄存器及堆栈信息进行更新，从而保证原始函数寄存器信息的同步。

S3.执行跳转指令，跳转至解释引擎入口。如上所述，解释引擎入口保存运行环境(各个寄存器的值)以及初始化堆栈(解释引擎使用的变量全部在堆栈中)。

同时，在跳转至解释函数后，解释函数用预设的字节码语义对字节码逐个进行解析。在解析指令对应的字节码的过程中，解释引擎更新被保存的寄存器及堆栈信息，以保证原始函数完整性。字节码解释完毕后，跳转至解释引擎出口，解释引擎出口恢复原始函数寄存器及堆栈信息，以保证寄存器信息在字节码解释过程中的同步及平衡，并返回原始函数。由此，可以实现对原始函数指令执行过程的模拟。

如图2所示，上述实施方式并不限于对单个函数的虚拟化，而是适用于对多个函数(函数A，函数B…)的虚拟化。

由于原始指令全部被转换成CPU不可直接执行的字节码，故在引擎设计过程中，必须要能够达到对原始指令进行完全模拟的效果，即要保证原始指令的语义完整性解释。其中主要考虑的是，首先，要确保正确地读取字节码。原始指令可能会有多种不同类型的表达方式，如LDR指令即可表示为：

LDR R0,[R1]

LDR R0,[R1,#4]

LDR R0,[R1,R2LSL#2]

LDR R0,[R1,#4]！等，

相应地，引擎的设计也需要针对各原始指令这些不同表达的情况进行罗列并分别进行解释。

此外，对函数跳转指令，需要确认函数是函数内部跳转还是函数外部跳转，并需要准确计算出目标跳转地址。所以原始指令的语义完整性解释决定了指令是否能够正确执行。

指令的正确执行完全依赖于对应的字节码是否能够被成功解释。而自创引擎则保证了字节码能够被正确读取以及执行。

解释引擎可包括解释单元，用于确定与字节码对应的解释程序。通过解释单元确定与字节码对应的解释程序，解释单元完成字节码执行，采用内部设定的语义对字节码进行解释，逐步还原原始函数指令并执行。

在一个实施例中，解释单元可包括多个子解释单元。如上所述，原始函数指令多种多样，组织形式也千变万化，解释引擎不可能针对每一种具体情况都进行翻译解释。本实施例中，对所有可能遇到的指令先进行归类，然后分解为若干简单的小指令，交给各个专门的子解释单元去处理。多个子解释单元配合协调工作，完成整个指令的执行。解释引擎把解码算法分布到了调度器Dispatch和每个子程序Handler中，只有在取指令和取数据时才会解密，而每个解码的算法也都是不同的，并且它的Seed每次解密都会变化，从而进一步增加了破解者的破译难度。

例如：MOV R0,#3这条指令，可以分解成几个虚拟小指令：

Vmov

VPushImm32 0x3

VPushReg R0

VPopReg R0

对应的字节码为：

0D 01(03 00 00 00)02(00 00 00 00)04(00 00 00 00)

以下是一些常见的虚拟小指令类型及其说明：

指令对应的虚拟指令(Vmov,Vldr,Vadd…..),

Vsplit：分隔每一条指令，该值为0

VPushImm32：告知引擎，指令中有立即数

VPushReg32：告知引擎，指令源操作数中的寄存器类型

VPushDstReg32：特殊处理STR指令

VPopReg32：告知引擎，目标寄存器类型

Vwriteback：特殊处理LDR或者STR指令，告知引擎，目标寄存器赋值完毕后，需要继续操作源寄存器。

当引擎处理字节码的时候，首先获取第一个字节码，进而判断指令类型，然后进入到子解释单元进而处理该指令。当处理完毕后，遇到VSplit，退出该子单元。继续解释下一条指令。

在子解释单元中，需要处理虚拟小指令，包括(VPushImm32，VPushReg32，VPushDstReg32，VPopReg32，Vwriteback)，并频繁地操作堆栈，更新保存在堆栈中的原始函数寄存器信息。

在一个实施例中，解释引擎可以采用基于堆栈的虚拟机。由于基于堆栈的虚拟机没有临时变量、寄存器的概念，所有的内容都放入堆栈中，需要频繁的操作堆栈，其使用的虚拟寄存器都保存在堆栈中，每个原始指令的子解释单元都需要Push、Pop。由于指令中不需要指定操作数，所以其指令相对简单，指令系统简洁，复用性高。

例如，对于指令ADD，基于堆栈的虚拟机首先从堆栈里Pop两个数，然后将两个数相加，再把和Push到堆栈中。ADD指令只占用一个字节，ADD指令的参数和返回都是在堆栈里，没有复杂的寄存器与内存操作，指令系统非常简洁。

下面以对一个ELF文件加固的示例简单说明字节码是如何进入到引擎中，以及如何输出的。

图6是一个ELF文件的加固方法的流程示意图。如图6所示，该方法包括：

步骤S61，将多个SO文件并入一个壳程序文件中以对待保护的多个SO文件进行统一加壳。即，将多个SO文件写入一个壳程序文件中的指定位置，壳程序文件会先于SO文件运行，取得优先权，保护SO文件不被非法修改或反编译。

加壳的全称是可执行程序资源的压缩和加密。加壳，其实就是给可执行文件加上个外衣。用户执行的只是这个外壳程序。当执行这个外壳程序的时候，它就会在内存中解压或者解密原程序，解压或解密后再把程序的执行权交还给真正的程序。所以，这些的工作只是在内存中执行的。

现有对SO文件的加壳方法一般是只针对单个SO文件加壳，即一个SO文件加壳一次，如果SO文件很多，就会进行多次加壳，势必造成最终安装包的体积很大。在本发明实施例中，通过将lib下的所有SO文件统一并入同一个壳中，即写入一个壳程序文件中的指定位置。通过检测发现，对所有的SO文件合并加壳后其所占空间缩小量一般在30％左右，而且SO文件数量越多，文件越大，其所占空间的缩小量就越大。

步骤S62，对壳程序文件中的多个SO文件进行加保护处理，即主要对统一加壳后的SO文件进一步的加固。

步骤S63，接收至少一个SO文件的调用请求，确定所述调用请求所对应的待调用对象。

步骤S64,根据所确定的待调用对象，在所述壳程序文件处对所述至少一个SO文件进行调用。

由于SO文件进行了统一加壳处理，所以当第三方对其进行调用时，要由所加的壳程序根据调用请求进行相应的加载，即帮助完成所请求的SO文件的加载。

在本发明的一个实施例中，图6所示的方法中的壳程序文件中包含能够对加保护处理后的SO文件进行解密处理的代码。在加载运行SO文件时，壳程序文件会先于SO文件运行，取得优先权，对加保护处理后的SO文件进行解密处理，使得SO文件的源代码恢复为完整的、代码排序正常的、无加密的、可完全还原的代码，进而在解壳后可以正常的加载运行。

在本发明的一个实施例中，图6所示方法的步骤61中将多个SO文件并入一个壳程序文件中包括：

将所述多个SO文件转换成二进制流，写入一个壳程序文件中，所述壳程序文件中至少包含所述多个SO文件的头文件信息。

在本发明的一个实施例中，图6所示方法的步骤S62中对壳程序文件中的多个SO文件进行加固处理可以是如下的一种或多种处理方式：

1)去掉多个SO文件的隐藏信息，从而导致SO文件信息缺失，即使有人对SO文件进行恶意解密或反编译，也无法得到完整的SO文件，很难做到静态工具分析。

2)对多个SO文件进行分段加密处理。可以是对多个SO文件的数据节和代码节分别进行加密，增加解密难度。

3)对多个SO文件进行代码混淆处理，在不改变代码逻辑的情况下，在多个SO文件的代码中增加无用代码，或者对多个SO文件的代码进行重命名，使反编译后的源代码难以看懂，增加反编译后代码分析的难度。

4)对多个SO文件进行反调试处理。可以是将可用于反调试的点插入到多个SO文件进行代码混淆后的代码中；代码混淆后，反调试的点就不容易找到，这样能给破解者进行调试的时候造成很多困扰，增加破解难度。

步骤S63中接收至少一个SO文件的调用请求，确定所述调用请求所对应的待调用对象包括：

在壳程序文件外接收至少一个SO文件的调用请求，确定所述调用请求所对应的待调用对象；

所述根据所确定的待调用对象，在壳程序文件处对所述至少一个SO文件进行调用包括：

在壳程序文件处，接收所述待调用对象的确定结果，相应地对所述至少一个SO文件进行调用。

在一个实施例中，壳程序文件外接收至少一个SO文件的调用请求，确定所述调用请求所对应的待调用对象包括：

在系统库文件中建立钩子；

利用所述钩子在第三方应用和所述壳程序文件之间接收第三方应用的调用请求，解析所述调用请求所对应的待调用对象。

计算机安全技术中广泛采用Hook(钩子)技术对待监控的应用程序的各种函数进行挂钩拦截，以便实现对这些应用程序的事件行为的监控，对应不同事件行为调用不同的钩子函数进行处理，从而实现依据不同的行为做出相应的安全防护处理。

其中，Hook(钩子)是应用程序在Windows消息处理过程中设置的用来监控消息流并且处理系统中尚未到达目的窗口的某一类型消息过程的机制。如果Hook过程在应用程序中实现，若应用程序不是当前窗口时，该Hook就不起作用；如果Hook在DLL中实现，程序在运行中动态调用它，它能实时对系统进行监控。Hook的这个本领，使它能够将自身的代码“融入”被Hook住的程序的进程中，成为目标进程的一个部分。“钩子”涵盖了用于通过拦截在软件组件之间传递的函数调用、消息、或事件来改变或增加操作系统、应用程序、或其他软件组件的行为的技术。而处理这种被拦截的函数调用、事件或消息的代码就被称为钩子函数。钩子通常用于各种目标，包括对功能进行调试和对功能进行扩展。其示例可以包括在键盘或鼠标事件传递到应用程序之前拦截它们，或者拦截系统调用(system call)、或者系统函数行为、函数执行结果等，以监视或修改应用程序或其他组件的功能等等。

基于这一原理，本实施例采用钩子函数，拦截第三方对SO文件的调用函数，转而调用所加的壳程序，即由所加的外壳程序文件根据SO的文件名完成实际的SO文件的加载。

由于Android是基于Linux内核的开源系统，根据语言环境不同可以分为Java层、Native C层、Linux Kernel层。正常情况下，第三方调用SO文件，必须通过Java层的LoadLibrary函数根据SO文件名进行相应的SO文件的加载。具体来说，LoadLibrary会调用libdvm.so里面的dlopen函数来最终加载SO文件。

系统加载SO文件的正常流程是首先把SO映射到内存，然后执行INIT_ARRAY，进而进入JNI_OnLoad函数。JNI_OnLoad是入口函数。假设有函数A需要被JNI_OnLoad函数调用。正常流程为：

JNI_OnLoad＝>A＝>返回至JNI_OnLoad

如果要将函数A作为保护的对象，那么函数A就被转换为跳转指令以及字节码。

JNI_OnLoad＝>A’＝>引擎＝>A’＝>返回至JNI_OnLoad

A’主要包括解释引擎(VMP)入口地址、出口地址以及虚拟化处理后的字节码，即上文所描述的虚拟化后的函数A。

解释引擎可以集成在这个SO当中，作为SO的一部分，而非单独存在。

如图3所示，根据本发明的另一个方面，基于ARM指令虚拟化的ELF文件保护系统包括转换单元10，跳转单元20，和解释引擎30。其中，转换单元10用于将原始函数指令转换成字节码，并保存原始函数的寄存器以及堆栈信息，增加跳转指令，并删除其余指令；跳转单元20执行跳转指令，跳转至解释引擎入口；解释引擎30可包括解释单元301，按照预设的字节码语义对字节码逐个进行解释，字节码解释完毕后，跳出引擎函数，并跳转至引擎出口，在引擎出口恢复原始函数堆栈以及寄存器信息，然后返回原始函数。解释引擎30可包括更新单元302，在解释所述字节码的过程中，更新被保存的寄存器及堆栈信息。

图7示出了可以实现根据本发明的基于ARM指令虚拟化的ELF文件保护方法的计算设备。该计算设备传统上包括处理器710和以存储设备720形式的计算机程序产品或者计算机可读介质。存储设备720可以是诸如闪存、EEPROM(电可擦除可编程只读存储器)、EPROM、硬盘或者ROM之类的电子存储器。存储设备720具有存储用于执行上述方法中的任何方法步骤的程序代码731的存储空间730。例如，存储程序代码的存储空间730可以包括分别用于实现上面的方法中的各种步骤的各个程序代码731。这些程序代码可以从一个或者多个计算机程序产品中读出或者写入到这一个或者多个计算机程序产品中。这些计算机程序产品包括诸如硬盘、紧致盘(CD)、存储卡或者软盘之类的程序代码载体。这样的计算机程序产品通常为例如图8所示的便携式或者固定存储单元。该存储单元可以具有与图7的计算设备中的存储设备720类似布置的存储段、存储空间等。程序代码可以例如以适当形式进行压缩。通常，存储单元包括用于执行根据本发明的方法步骤的计算机可读代码731＇，即可以由诸如710之类的处理器读取的代码，当这些代码由计算设备运行时，导致该计算设备执行上面所描述的方法中的各个步骤。

以上所述的仅是本发明的一些实施方式。对于本领域的普通技术人员来说，在不脱离本发明创造构思的前提下，还可以做出若干变形和改进，这些都属于本发明的保护范围。

Claims

基于ARM指令虚拟化的ELF文件保护方法，包括：

将原始函数指令转换成字节码；

保存原始函数的寄存器以及堆栈信息，增加跳转指令，并删除其余指令；

执行所述跳转指令，跳转至解释引擎以对所述字节码进行解释。
根据权利要求1所述的基于ARM指令虚拟化的ELF文件保护方法，还包括：所述跳转指令指向所述解释引擎入口，所述解释引擎入口保存各个指令寄存器的值和初始化堆栈。
根据权利要求1或2所述的基于ARM指令虚拟化的ELF文件保护方法，其中所述解释引擎在解释所述字节码的过程中，更新被保存的寄存器及堆栈信息。
根据权利要求1-3任一项所述的基于ARM指令虚拟化的ELF文件保护方法，其中所述原始函数指令被分为多个虚拟化小指令并转换为相应的字节码；和/或

所述解释引擎采用多个子解释单元对所述字节码进行解释。
根据权利要求1-4任一项所述的基于ARM指令虚拟化的ELF文件保护方法，其中所述对字节码进行解释采用基于堆栈的虚拟机架构。
基于ARM指令虚拟化的ELF文件的保护系统，包括：

转换单元，用于将原始函数指令转换成字节码，保存原始函数的跳转指令，寄存器以及堆栈信息，并删除其余指令；

跳转单元，执行所述跳转指令；

解释引擎，根据预设的字节码语义对执行所述跳转指令后传入的字节码进行解释。
根据权利要求6所述的基于ARM指令虚拟化的ELF文件保护装置，其中所述解释引擎包括包括多个子解释单元。
根据权利要求6所述的基于ARM指令虚拟化的ELF文件保护系统，其中所述解释引擎采用基于堆栈的虚拟机架构。
根据权利要求6-8任一项所述的基于ARM指令虚拟化的ELF文件保护系统，其中所述跳转指令指向所述解释引擎入口，所述解释引擎入口保存各个指令寄存器的值和初始化堆栈。
根据权利要求6-8任一项所述的基于ARM指令虚拟化的ELF文件保护系统，其中所述解释引擎还包括更新单元，在解释所述字节码的过程中，更新被保存的寄存器及堆栈信息。
一种计算机程序，包括计算机可读代码，当所述计算机可读代码在计算设备上运行时，导致所述计算设备执行根据权利要求1-5中的任一项所述的基于ARM指令虚拟化的ELF文件保护方法。
一种计算机可读介质，其中存储了如权利要求11所述的计算机程序。