[发明专利]通过操作码随机化的安全

权利要求书

1.一种计算机实现的方法，用于为了在应用代码执行之前对其进行保持而在将应用代码从存储加载到模糊域中时转换应用代码，所述方法包括：

接收模块执行请求，所述模块执行请求指定要加载到进程中以供执行的一个或多个可执行模块；

标识所指定的可执行模块中的可执行代码；

加载所标识的可执行代码；

在确定所述进程将用操作码转换来保护之后，将已加载的可执行代码从本机域转换到模糊域；以及

存储经转换的可执行代码以准备执行，

其中，前面的各步骤由至少一个处理器来执行。

2.如权利要求1所述的方法，其特征在于，接收所述模块执行请求包括标识包含可执行二进制代码的已存储可执行模块。

3.如权利要求1所述的方法，其特征在于，接收所述模块执行请求包括标识由主模块引用的一个或多个静态链接的模块并加载所述静态链接的模块。

4.如权利要求1所述的方法，其特征在于，标识可执行代码包括基于模块格式来确定模块中的可执行代码的位置。

5.如权利要求1所述的方法，其特征在于，标识可执行代码包括加载标识可执行区域的调试符号或其他元数据。

6.如权利要求1所述的方法，其特征在于，加载所述可执行代码包括挂钩或修改操作系统加载程序进程以插入将所述可执行代码的操作码从本机域转换到模糊域的步骤。

7.如权利要求1所述的方法，其特征在于，还包括，在确定所述进程将不用操作码转换来保护后，存储所加载的、未转换的可执行代码以供正常执行。

8.如权利要求1所述的方法，其特征在于，转换所述可执行代码包括用查找表中标识的新操作码来替换每一操作码。

9.如权利要求1所述的方法，其特征在于，转换所述可执行代码包括标识每一操作码并使用良好定义的且可逆的过程来加扰所标识的操作码，所述过程对于恶意代码是难以预测的。

10.如权利要求1所述的方法，其特征在于，存储经转换的可执行代码包括将所述可执行代码存储在主存储器中，并且在检测到所述代码的即将到来的执行后，逆转所述转换过程以将模块代码转换成它的原始形式，并将任何恶意代码转换成无效形式。

11.一种用于通过操作码随机化来提供应用进程安全的计算机系统，所述系统包括：

被配置成执行包含在以下组件内的软件指令的处理器和存储器；

将可执行代码从存储位置加载到预执行存储区域的代码加载组件；

将经加载的可执行代码从本机域转换到模糊域的操作码转换组件；

存储经加载的和经转换的可执行代码以供稍后执行的代码数据存储。

接收要执行所标识的存储器内的程序代码的指令的代码执行组件；

逆转换组件，所述逆转换组件逆转操作码转换组件的转换以将模糊域可执行代码转换成处理器可执行的本机域可执行代码；以及

错误检测组件，所述错误检测组件检测执行流中的错误操作码并阻止恶意或经修改的代码正确执行。

12.如权利要求11所述的系统，其特征在于，所述代码加载组件预执行存储区域包括个人计算机的主存储器，且所述组件接收要从操作系统外壳或加载程序加载可执行代码的请求，并标识与所述可执行代码相关联的一个或多个模块。

13.如权利要求11所述的系统，其特征在于，所述操作码转换组件用于本机域和模糊域，所述本机域包含处理器指令集的操作码而所述模糊域包含能够检测到错误的操作码。

14.如权利要求11所述的系统，其特征在于，所述操作码转换组件至少修改所述可执行代码的指令流中的操作码，以造成难以预测所述可执行代码的变更，并在所述计算机系统的固件层的加载期间操作。

15.如权利要求11所述的系统，其特征在于，所述代码数据存储包括用于即时(JIT)编译的可执行模块的汇编高速缓存。

16.如权利要求11所述的系统，其特征在于，所述代码执行组件用作操作系统的存储器管理程序的一部分，所述存储器管理程序在每一可执行页要执行的时间之前将所述可执行页从存储器加载到CPU高速缓存中。