[发明专利]一种监控程序的方法、装置、电子设备及存储介质

权利要求书

1.一种监控程序的方法，其特征在于，应用于宿主机，该方法包括：

判断当前客户机中样本程序是否执行到的分支节点；

当客户机中的样本程序执行到分支节点时，获取所述分支节点对应分支状态信息，所述分支状态信息包括多个分支对应的跳转条件以及跳转地址；

根据所述分支状态信息，执行每个分支并采集执行过程中的行为数据直至所述分支节点中包含的所述多个分支均执行完成。

2.根据权利要求1所述的方法，其特征在于，所述判断当前是否执行到客户机中样本程序的分支节点，包括：

获取当前被调用的应用程序接口API以及样本程序的地址空间；

当调用所述API的函数地址位于所述样本程序的地址空间内，且所述API为第一类API时，确定所述客户机中的样本程序执行到分支节点，所述第一类API为样本程序中执行分支逻辑时被调用的API。

3.根据权利要求1所述的方法，其特征在于，所述判断当前是否执行到客户机中样本程序的分支节点，包括：

检测当前运行的应用程序是否为样本程序；

在当前运行的应用程序为样本程序，且截获的客户机当前执行的指令为第一类指令时，确定所述客户机中的样本程序执行到分支节点，所述第一类指令为样本程序中用于执行分支逻辑的选择指令。

4.根据权利要求1-3任一项所述的方法，其特征在于，所述判断当前是否执行到客户机中样本程序的分支节点之前，还包括：

建立样本程序需要监控的分支选择行为的集合，所述集合包括第一类API和/或第一类指令。

5.根据权利要求1-3任一项所述的方法，其特征在于，所述根据所述分支状态信息，执行每个分支并采集执行过程中的行为数据直至所述分支节点中包含的所述多个分支均执行完成之前，还包括：

当客户机中的样本程序执行到分支节点时，保存当前指令执行现场信息，所述指令执行现场信息包括指针地址、栈地址以及寄存器的当前状态；

所述根据所述分支状态信息，执行每个分支并采集执行过程中的行为数据直至所述分支节点中包含的所述多个分支均执行完成，包括：

根据所述分支状态信息以及所述当前指令执行现场信息，执行每个分支并采集执行过程中的行为数据直至所述分支节点中包含的所述多个分支均执行完成。

6.根据权利要求2或3任一项所述的方法，其特征在于，所述根据所述分支状态信息，执行每个分支并采集执行过程中的行为数据直至所述分支节点中包含的所述多个分支均执行完成，包括：

根据当前执行指令对应的跳转条件确定执行分支，将执行指针跳转至对应的跳转地址；

当所述执行分支执行完毕，根据所述分支状态信息，模拟所述分支节点中除所述执行分支之外的剩余分支对应的跳转条件进行分支执行，直至所述分支节点中包含的所述多个分支均执行完成。

7.根据权利要求6所述的方法，其特征在于，在调用所述API的函数地址位于所述样本程序的地址空间内，且所述API为第一类API，确定所述客户机中的样本程序执行到分支节点的情况下，所述当所述执行分支执行完毕，根据所述分支状态信息，模拟所述分支节点中除所述执行分支之外的剩余分支对应的跳转条件进行分支执行，包括：

当所述执行分支执行完毕，根据所述分支状态信息，修改所述API的返回值，以触发所述执行分支之外的其它分支执行；其中，修改后的API返回值，不同于作为已执行完毕的分支的执行条件的API返回值；或者，

当所述执行分支执行完毕，根据所述分支状态信息，修改执行环境中不满足的条件，使所述API返回表示条件满足的返回值，以触发所述执行分支之外的其它分支执行。