| 发明名称 | 对程序二进制文件的通用拆包 | ||
| 摘要 | 通过在执行环境中钩挂应用编程接口,用于被钩挂的应用编程接口调用的返回地址可以被记录并且用于确定经打包的二进制文件何时已被拆包。在一种方法中,检测到存储器分配并且对照所分配的存储器区域来检查返回地址。在另一种方法中,将在可执行二进制文件的执行前副本中的返回地址处的存储器的内容与二进制文件的执行副本中的返回地址处的存储器的内容进行比较。这允许在不了解关于拆包的技术的情况下有效地检测拆包的完成。然后可以针对可能的恶意软件来分析经拆包的二进制文件。 | ||
| 申请公布号 | CN105765531A | 申请公布日期 | 2016.07.13 |
| 申请号 | CN201480064590.2 | 申请日期 | 2014.12.23 |
| 申请人 | 迈克菲公司 | 发明人 | A·马利克;V·塔尼加;B·克鲁兹 |
| 分类号 | G06F9/44(2006.01)I;G06F21/56(2006.01)I | 主分类号 | G06F9/44(2006.01)I |
| 代理机构 | 永新专利商标代理有限公司 72002 | 代理人 | 邬少俊;王英 |
| 主权项 | 一种机器可读介质,在所述机器可读介质上存储有指令,所述指令包括当被执行时使得可编程设备进行以下操作的指令:将自解压可执行文件加载到存储器中,所述自解压可执行文件包括第一拆包存根和经打包的可执行文件;允许所述拆包存根将所述经打包的可执行文件拆包成经拆包的可执行文件;以及独立于对所述拆包存根的了解,使用一个或多个试探法来检测所述拆包存根的完成,其中,所述一个或多个试探法包括当被执行时使得所述可编程设备进行以下操作的指令:检测应用编程接口调用;以及确定用于所述应用编程接口调用的返回地址;以及基于所述返回地址来确定经拆包的代码是否正被执行。 | ||
| 地址 | 美国加利福尼亚 | ||