WO2017156962A1 - Elf 共享库保护方法及其系统 - Google Patents

Abstract

一种ELF共享库保护方法及其系统，方法包括：依据目标ELF共享库文件的目标函数列表构建加壳ELF共享库文件；读取目标ELF共享库文件至内存；对合法的目标ELF共享库文件进行加密处理，得到密文ELF数据；将所述密文ELF数据填充至所述加壳ELF共享库文件的数据段内。本方法可防止动态共享库被反编译逆向分析后得到设计者的程序设计思路或代码执行细节，提高对软件的保护，避免软件开发企业的经济损失，保护消费者的利益。

Description

ELF共享库保护方法及其系统

技术领域

[0001] 本发明涉及计算机安全领域， 尤其涉及一种 ELF共享库保护方法及其系统。

背景技术

[0002] 软件的防盗版、 防修改一直是计算机安全领域的一个重要课题。 非法破译者可 以通过反编译和逆向工程来分析软件， 进而发现软件的设计思路和技术细节， 这直接给软件幵发企业带来了直接的经济损失， 也间接损害了消费者的利益。 因此设计一套专有、 独特的软件保护方法尤为重要。

[0003] 目前对 Linux中 ELF保护的方法通常是通过嵌入式的方法来进行保护。 先在可执 行文件或动态共享库里注入一段跳转代码， 系统运行该可执行文件或动态库吋 先执行此部分跳转代码， 然后再根据跳转代码指定的地址跳转到真正的有效代 码段部分执行。 此方法虽然可以隐藏有效代码段， 但并不能很好的防止动态逆 向分析。

[0004] 在公幵号为 102136053A的专利授权文件中， 提出了一种对可执行文件源代码保 护的方法,包括以下步骤： 获取需要加壳的目标可执行链接格式 ELF文件； 提取 目标 ELF文件中的核心部分； 所述核心部分包括数据段、 代码段、 堆栈段及动态 链接表； 创建新的 ELF文件框架;将目标文件的核心部分和加壳部分整合,将整合 结果按 ELF结构填入到新的 ELF文件框架中； 完成重构新的 ELF文件并设置其属 性为可执行。 该方法主要通过对核心代码进行加壳来提高反动态跟踪能力， 但 该方法只有一重保护， 安全性较低。

技术问题

[0005] 本发明所要解决的技术问题是： 提供一种 ELF共享库保护方法及其系统， 有效 防止动态共享库被反编译逆向分析， 提高对软件的保护。

问题的解决方案

技术解决方案

[0006] 为了解决上述技术问题， 本发明采用的技术方案为： 一种 ELF共享库保护方法 ， 包括：

[0007] 依据目标 ELF共享库文件的目标函数列表构建加壳 ELF共享库文件；

[0008] 读取目标 ELF共享库文件至内存；

[0009] 对合法的目标 ELF共享库文件进行加密处理， 得到密文 ELF数据；

[0010] 将所述密文 ELF数据填充至所述加壳 ELF共享库文件的数据段内。

[0011] 本发明还涉及一种 ELF共享库保护系统， 包括：

[0012] 构建模块， 用于依据目标 ELF共享库文件的目标函数列表构建加壳 ELF共享库 文件；

[0013] 第一读取模块， 用于读取目标 ELF共享库文件至内存；

[0014] 加密模块， 用于对合法的目标 ELF共享库文件进行加密处理， 得到密文 ELF数 据；

[0015] 填充模块， 用于将所述密文 ELF数据填充至所述加壳 ELF共享库文件的数据段 内。

发明的有益效果

有益效果

[0016] 本发明的有益效果在于： 对目标 ELF共享库文件进行了加密操作并将密文 ELF 数据填充至加壳 ELF共享库文件中， 实现了双重保护； 对外发布的加壳 ELF共享 库文件中只包含目标 ELF共享库文件的密文 ELF数据， 用户面向的对象都是加壳 ELF共享库， 其目标 ELF共享库是加密隐藏不可见的， 反编译逆向后也无法看到 目标 ELF共享库文件的实际代码流程， 可防止动态共享库被反编译逆向分析后得 到设计者的程序设计思路或代码执行细节， 提高对软件的保护， 避免软件幵发 企业的经济损失， 保护消费者的利益。

对附图的简要说明

附图说明

[0017] 图 1为本发明一种 ELF共享库保护方法的流程图；

[0018] 图 2为本发明实施例一的方法流程图；

[0019] 图 3为本发明一种 ELF共享库保护系统的结构示意图；

[0020] 图 4为本发明实施例二的系统结构示意图。 [0021] 标号说明：

[0022] 1、 构建模块； 2、 第一读取模块； 3、 第一判断模块； 4、 加密模块； 5、 填充 模块； 6、 第二读取模块； 7、 解密模块； 8、 第二判断模块； 9、 获取模块； [0023] 91、 获取单元； 92、 调用单元。

具体实施方式

[0024] 本发明最关键的构思在于： 对目标 ELF共享库文件进行加密处理， 进行一重保 护， 再以加壳 ELF共享库文件的方式对外发布， 实现对共享库文件的二重保护。

[0025] 请参阅图 1， 一种 ELF共享库保护方法， 包括：

[0026] 依据目标 ELF共享库文件的目标函数列表构建加壳 ELF共享库文件；

[0027] 读取目标 ELF共享库文件至内存；

[0028] 对合法的目标 ELF共享库文件进行加密处理， 得到密文 ELF数据；

[0029] 将所述密文 ELF数据填充至所述加壳 ELF共享库文件的数据段内。

[0030] 从上述描述可知， 本发明的有益效果在于： 可有效隐藏代码， 目标 ELF共享库 是加密隐藏不可见的， 可防止动态共享库被反编译逆向分析后得到设计者的程 序设计思路或代码执行细节， 提高对软件的保护， 避免软件幵发企业的经济损 失， 保护消费者的利益。

[0031] 进一步地， 所述"将所述密文 ELF数据填充至所述加壳 ELF共享库文件的数据段 内"之后， 进一步包括：

[0032] 读取所述加壳 ELF共享库文件内的密文 ELF数据至内存；

[0033] 对所述密文 ELF数据进行解密处理， 得到所述目标 ELF共享库文件；

[0034] 根据所述目标 ELF共享库文件的格式， 获取所述目标 ELF共享库文件的目标函 数。

[0035] 进一步地， 所述加壳 ELF共享库文件包括关联目标 ELF共享库文件中的目标函 数的代理函数。

[0036] 进一步地， 所述"根据所述目标 ELF共享库文件的格式， 获取所述目标 ELF共享 库文件的目标函数"具体为：

[0037] 根据所述目标 ELF共享库文件的段头表和函数映射表， 获取所述目标 ELF共享 库文件的目标函数的运行地址；

[0038] 所述加壳 ELF共享库文件的代理函数根据所述运行地址， 调用所述目标函数。

[0039] 由上述描述可知， 当调用方需调用目标函数吋， 需要先将加壳 ELF共享库文件 中的密文 ELF数据解密为目标 ELF共享库文件， 获取目标函数的运行地址， 然后 由加壳 ELF共享库文件中的代理函数根据运行地址， 才能调用目标函数， 可有效 地防止了目标 ELF共享库被反编译逆向分析出程序设计者的代码逻辑， 提高软件 的安全性； 同吋， 整个过程都在内存中进行， 目标函数调用完毕后即释放内存 ， 使得目标 ELF共享库文件不会在实际存储器中留有任何痕迹， 进一步提高了软 件的安全性。

[0040] 进一步地， 所述"读取目标 ELF共享库文件至内存"之后， 进一步包括：

[0041] 判断所述目标 ELF共享库文件是否合法。

[0042] 由上述描述可知， 通过对合法性进行判断， 保证目标 ELF共享库文件是安全的

， 防止感染病毒， 提高了系统的安全性。

[0043] 进一步地， 所述"对所述密文 ELF数据进行解密处理， 得到所述目标 ELF共享库 文件"之后， 进一步包括：

[0044] 判断所述目标 ELF共享库文件是否合法。

[0045] 由上述描述可知， 在解密完再进行一次合法性的判断， 可防止在获取加壳 ELF 共享库文件前密文 ELF共享库数据被修改， 进一步提高了系统的安全性。

[0046] 请参照图 3， 本发明还提出一种 ELF共享库保护系统， 包括：

[0047] 构建模块， 用于依据目标 ELF共享库文件的目标函数列表构建加壳 ELF共享库 文件；

[0048] 第一读取模块， 用于读取目标 ELF共享库文件至内存；

[0049] 加密模块， 用于对合法的目标 ELF共享库文件进行加密处理， 得到密文 ELF数 据；

[0050] 填充模块， 用于将所述密文 ELF数据填充至所述加壳 ELF共享库文件的数据段 内。

[0051] 进一步地， 还包括：

[0052] 第二读取模块， 用于读取所述加壳 ELF共享库文件内的密文 ELF数据至内存； [0053] 解密模块， 用于对所述密文 ELF数据进行解密处理， 得到所述目标 ELF共享库 文件；

[0054] 获取模块， 用于根据所述目标 ELF共享库文件的格式， 获取所述目标 ELF共享 库文件的目标函数。

[0055] 进一步地， 所述加壳 ELF共享库文件包括关联目标 ELF共享库文件中的目标函 数的代理函数。

[0056] 进一步地， 所述获取模块包括：

[0057] 获取单元， 用于根据所述目标 ELF共享库文件的段头表和函数映射表， 获取所 述目标 ELF共享库文件的目标函数的运行地址；

[0058] 调用单元， 用于所述加壳 ELF共享库文件的代理函数根据所述运行地址， 调用 所述目标函数。

[0059] 实施例一

[0060] 请参照图 2， 本发明的实施例一为一种 ELF共享库保护方法， 包括如下步骤： [0061] S1 : 依据目标 ELF共享库文件的目标函数列表构建加壳 ELF共享库文件， 所述 加壳 ELF共享库文件包括关联目标 ELF共享库文件中的目标函数的代理函数； 具 体是根据目标 ELF共享库文件抛出的可供调用的函数列表， 即目标函数列表， 在 加壳 ELF共享库文件中实现代理函数， 调用方， 即第三方调用者通过调用代理函 数来完成目标函数的调用。 例如， 在目标 ELF共享库文件内有目标函数 target_f_un cl()， 则在加壳 ELF共享库文件内实现代理函数 proxy_funcl()， 在代理函数 proxy _funcl()内部完成对目标函数 target_funcl()的调用。 优选地， 所述加壳 ELF共享库 文件还包括初始化函数， 可在初始化函数中完成下述的加密运算、 解密运算和 定位目标函数运行地址的操作。

[0062] S2: 读取目标 ELF共享库文件至内存； 在加壳 ELF共享库文件的数据段内幵辟 一定大小的临吋数据空间， 将目标 ELF共享库文件的全部数据读取到所述临吋数 据空间中。

[0063] S3： 判断所述目标 ELF共享库文件是否合法， 若是， 则执行步骤 S4， 若否， 则 结束流程； 优选地， 可根据目标 ELF共享库文件的格式判断合法性， 因为目标 E LF共享库文件的文件头指明了该目标 ELF共享库文件的类型、 文件运行的机器平 台、 体系结构、 大小等， 可通过解析其文件头来判断是否合法。

[0064] S4: 对合法的所述目标 ELF共享库文件进行加密处理， 得到密文 ELF数据； 加 密算法可根据实际需求， 选择对称加密算法或非对称加密算法； 对称加密算法 是使用单钥密码系统的加密方法， 加密和解密使用同一个秘钥， 加解密速度快 ， 常用的有 DES、 3DES等， 和非对称加密算法相比对称加密算法更容易被破解 ； 非对称加解密算法需要 2个秘钥， 使用公钥加密， 私钥解密， 公私钥分幵保存 ， 与对称加密算法相比非对称加密算法的安全性更好， 但加解密速度更慢， 常 用的有 RSA、 Elgamal等。 优选地， 在初始化函数中进行加密运算。

[0065] S5: 将所述密文 ELF数据填充至所述加壳 ELF共享库文件的数据段内； 在加壳 E LF共享库文件的数据段内幵辟一定大小的数据空间， 将密文 ELF数据填充到该数 据空间里。 可选地， 得到密文 ELF数据后或密文 ELF数据填充完后， 即可释放步 骤 S2中的临吋数据空间， 即在加壳 ELF共享库文件的数据段中刪除目标 ELF共享 库文件， 只留有密文 ELF数据。

[0066] S6: 调用方获取所述加壳 ELF共享库文件； 调用方调用加壳 ELF共享库文件实 现对目标 ELF共享库文件的调用， 所述加壳 ELF共享库文件包括初始化函数、 代 理函数和密文 ELF数据。 下述步骤阐述调用方通过调用加壳 ELF共享库文件实现 对目标 ELF共享库文件中的目标函数的调用。

[0067] S7: 读取所述加壳 ELF共享库文件内的密文 ELF数据至内存。

[0068] S8: 对所述密文 ELF数据进行解密处理， 在内存中得到所述目标 ELF共享库文 件； 进行该步骤的解密运算与步骤 S4中的加密运算相对应。 优选地， 在初始化 函数中进行解密运算。

[0069] S9: 判断所述目标 ELF共享库文件是否合法， 若是， 则执行步骤 S10， 若否， 则结束流程。 该步骤的判断依据与步骤 S3—致。

[0070] S10: 根据所述目标 ELF共享库文件的格式， 获取所述目标 ELF共享库文件的目 标函数的运行地址； 目标函数的运行地址可根据目标 ELF共享库文件的段头表和 函数映射表获取。 优选地， 该步骤也在初始化函数中完成。

[0071] S11 : 所述加壳 ELF共享库文件的代理函数根据所述运行地址， 调用所述目标 函数。 [0072] S12: 调用完毕后， 释放上述步骤申请的所有内存空间。

[0073] 在本实施例中， 无论是共享库的发布、 存储或加载运行过程， 用户面向的对象 都是加壳 ELF共享库， 其目标 ELF共享库是加密隐藏不可见的， 且整个过程是在 内存中运行， 程序运行完毕后内存空间即释放， 使得目标共享库不会在实际存 储器中留有任何的痕迹， 该方法有效地防止了目标 ELF共享库被反编译逆向分析 出程序设计者的代码逻辑。

[0074] 实施例二

[0075] 请参照图 4， 本实施例为对应上述方法的一种 ELF共享库保护系统， 包括： [0076] 构建模块 1， 用于依据目标 ELF共享库文件的目标函数列表构建加壳 ELF共享库 文件；

[0077] 第一读取模块 2， 用于读取目标 ELF共享库文件至内存；

[0078] 第一判断模块 3， 用于判断所述目标 ELF共享库文件是否合法， 得到第一判断 结果；

[0079] 加密模块 4， 用于若第一判断结果为是， 则对所述目标 ELF共享库文件进行加 密处理， 得到密文 ELF数据；

[0080] 填充模块 5， 用于将所述密文 ELF数据填充至所述加壳 ELF共享库文件的数据段 内；

[0081] 第二读取模块 6， 用于读取所述加壳 ELF共享库文件内的密文 ELF数据至内存； [0082] 解密模块 7， 用于对所述密文 ELF数据进行解密处理， 得到所述目标 ELF共享库 文件；

[0083] 第二判断模块 8， 用于判断所述目标 ELF共享库文件是否合法， 得到第二判断 结果；

[0084] 获取模块 9， 用于若所述第二判断结果为是， 则根据所述目标 ELF共享库文件 的格式， 获取所述目标 ELF共享库文件的目标函数。

[0085] 所述获取模块 9包括：

[0086] 获取单元 91， 用于根据所述目标 ELF共享库文件的段头表和函数映射表， 获取 所述目标 ELF共享库文件的目标函数的运行地址；

[0087] 调用单元 92， 用于所述加壳 ELF共享库文件的代理函数根据所述运行地址， 调 用所述目标函数。

[0088] 综上所述， 本发明提供的一种 ELF共享库保护方法及其系统， 对目标 ELF共享 库文件进行了加密操作并将密文 ELF数据填充至加壳 ELF共享库文件中， 实现了 双重保护； 对外发布的加壳 ELF共享库文件中只包含目标 ELF共享库文件的密文 ELF数据， 用户面向的对象都是加壳 ELF共享库， 其目标 ELF共享库是加密隐藏 不可见的， 反编译逆向后也无法看到目标 ELF共享库文件的实际代码流程， 可防 止动态共享库被反编译逆向分析后得到设计者的程序设计思路或代码执行细节 ， 提高对软件的保护， 避免软件幵发企业的经济损失， 保护消费者的利益； 同 吋， 整个过程都在内存中进行， 目标函数调用完毕后即释放内存， 使得目标 ELF 共享库文件不会在实际存储器中留有任何痕迹， 进一步提高了软件的安全性； 在加密前和解密后均对目标 ELF共享库文件进行合法性的判断， 保证了系统的安 全性。

[0089]

Claims

权利要求书

[权利要求 1] 一种 ELF共享库保护方法， 其特征在于， 包括：

依据目标 ELF共享库文件的目标函数列表构建加壳 ELF共享库文件； 读取目标 ELF共享库文件至内存；

对合法的目标 ELF共享库文件进行加密处理， 得到密文 ELF数据； 将所述密文 ELF数据填充至所述加壳 ELF共享库文件的数据段内。

[权利要求 2] 根据权利要求 1所述的 ELF共享库保护方法， 其特征在于， 所述"将所 述密文 ELF数据填充至所述加壳 ELF共享库文件的数据段内"之后， 进 一步包括：

读取所述加壳 ELF共享库文件内的密文 ELF数据至内存；

对所述密文 ELF数据进行解密处理， 得到所述目标 ELF共享库文件； 根据所述目标 ELF共享库文件的格式， 获取所述目标 ELF共享库文件 的目标函数。

[权利要求 3] 根据权利要求 2所述的 ELF共享库保护方法， 其特征在于， 所述加壳 E

LF共享库文件包括关联目标 ELF共享库文件中的目标函数的代理函数 根据权利要求 3所述的 ELF共享库保护方法， 其特征在于， 所述"根据 所述目标 ELF共享库文件的格式， 获取所述目标 ELF共享库文件的目 标函数 "具体为：

根据所述目标 ELF共享库文件的段头表和函数映射表， 获取所述目标 ELF共享库文件的目标函数的运行地址；

所述加壳 ELF共享库文件的代理函数根据所述运行地址， 调用所述目 标函数。

根据权利要求 1所述的 ELF共享库保护方法， 其特征在于， 所述"读取 目标 ELF共享库文件至内存"之后， 进一步包括： 判断所述目标 ELF共享库文件是否合法。

根据权利要求 2所述的 ELF共享库保护方法， 其特征在于， 所述"对所 述密文 ELF数据进行解密处理， 得到所述目标 ELF共享库文件"之后， 进一步包括：

判断所述目标 ELF共享库文件是否合法。

[权利要求 7] —种 ELF共享库保护系统， 其特征在于， 包括：

构建模块， 用于依据目标 ELF共享库文件的目标函数列表构建加壳 EL F共享库文件；

第一读取模块， 用于读取目标 ELF共享库文件至内存；

加密模块， 用于对合法的目标 ELF共享库文件进行加密处理， 得到密 文 ELF数据；

填充模块， 用于将所述密文 ELF数据填充至所述加壳 ELF共享库文件 的数据段内。

[权利要求 8] 根据权利要求 7所述的 ELF共享库保护系统， 其特征在于， 还包括： 第二读取模块， 用于读取所述加壳 ELF共享库文件内的密文 ELF数据 至内存；

解密模块， 用于对所述密文 ELF数据进行解密处理， 得到所述目标 EL F共享库文件；

获取模块， 用于根据所述目标 ELF共享库文件的格式， 获取所述目标 ELF共享库文件的目标函数。

[权利要求 9] 根据权利要求 8所述的 ELF共享库保护系统， 其特征在于， 所述加壳 E

LF共享库文件包括关联目标 ELF共享库文件中的目标函数的代理函数

[权利要求 10] 根据权利要求 9所述的 ELF共享库保护系统， 其特征在于， 所述获取 模块包括：

获取单元， 用于根据所述目标 ELF共享库文件的段头表和函数映射表 ， 获取所述目标 ELF共享库文件的目标函数的运行地址；

调用单元， 用于所述加壳 ELF共享库文件的代理函数根据所述运行地 址， 调用所述目标函数。