| 发明名称 | 基于综合处理的软件壳自动脱壳方法 | ||
| 摘要 | 该发明属于网络安全领域中对带保护壳的恶意软件进行脱壳处理的方法,包括初始化处理,获取加壳恶意软件的原始入口点参数和断点位置参数,获取输入表,待脱壳软件的转储及脱壳后软件的获取。该发明将可用于恶意软件加壳保护的壳特征参数作为鉴别恶意软件壳特征的依据;在待脱壳的恶意软件输入内存系统后、首先找出原始入口点参数及对应的各断点位置参数,再按所得各断点位置参数对待脱壳软件进行运行调试、得到输入表,然后再通过原始入口点参数及输入表对待脱壳软件进行修复,以获得脱壳后的恶意软件;因而该发明具有可对加壳保护的恶意软件进行自动脱壳处理,还原恶意软件加壳前的可执行状况,为对恶意软件的分析处理清除其保护屏障等特点。 | ||
| 申请公布号 | CN102184363B | 申请公布日期 | 2013.09.25 |
| 申请号 | CN201110132587.8 | 申请日期 | 2011.05.21 |
| 申请人 | 电子科技大学 | 发明人 | 范明钰;王光卫;潘泓 |
| 分类号 | G06F21/56(2013.01)I | 主分类号 | G06F21/56(2013.01)I |
| 代理机构 | 电子科技大学专利中心 51203 | 代理人 | 詹福五 |
| 主权项 | 一种基于综合处理的软件壳自动脱壳方法,包括:步骤1.初始化处理:将各组带保护壳软件的壳特征参数中的原始入口点参数及与该原始入口点参数对应的全部断点位置参数、逐一按类录入壳特征数据库内、待用;步骤2.获取加壳恶意软件的原始入口点参数和断点位置参数:将待脱壳的恶意软件输入内存系统后,与壳特征库中的各原始入口点参数进行逐一比对处理,以获得待脱壳的恶意软件的原始入口点参数,并记录该原始入口点参数及所对应的全部断点位置参数,分别存储、备用;步骤3.获取输入表数据:在步骤2获得的全部断点位置参数处,采用断点回调函数跟踪待脱壳软件的运行、调试,并随时记录回调函数给出的输入表各参数数据;当输入表参数收集完毕后、停止对待脱壳软件的运行、调试,同时存储备用;步骤4.待脱壳软件的转储:将待脱壳软件从内存中转储到硬盘上;步骤5.脱壳后软件的获取:使用从步骤2所得、备用的原始入口点参数和步骤3获取并存储备用的输入表各参数,对经步骤4转储到硬盘上的待脱壳的软件进行修复处理,修复后即得可直接用于分析的脱壳后的软件。 | ||
| 地址 | 611731 四川省成都市高新区(西区)西源大道2006号 | ||