[发明专利]应用文件的脱壳方法及装置

权利要求书

1.一种应用文件的脱壳方法，其特征在于，包括：

监控待脱壳文件所运行的当前待脱壳方法，读取所述当前待脱壳方法对应的进程信息；

根据所述当前待脱壳方法对应的进程信息，判断当前待脱壳方法对应的进程是否为满足预设脱壳条件的进程；若是，则将所述当前待脱壳方法的内存数据转换为第一结构体信息；

根据所述第一结构体信息中包含的属性信息，确定DEX文件在所述待脱壳文件中的内存区域；

调用系统函数对所述内存区域内的数据进行解析，得到与所述DEX文件中的方法所对应的第二结构体信息；

利用所述第一结构体信息对所述第二结构体信息进行修复处理，根据修复后的第二结构体信息生成所述待脱壳文件脱壳后的DEX文件。

2.根据权利要求1所述的方法，其特征在于，所述第一结构体信息为多个，则将所述当前待脱壳方法的内存数据转换为第一结构体信息的步骤之后，进一步包括：

将所述第一结构体信息进行存储；

则所述根据所述第一结构体信息中包含的属性信息，确定DEX文件在所述待脱壳文件中的内存区域，调用系统函数对所述内存区域内的数据进行解析，得到与所述DEX文件中的方法所对应的第二结构体信息进一步包括：

当存储的第一结构体信息的数量大于或等于预设阈值时，根据任意一个第一结构体信息确定所述待脱壳文件对应的DEX文件的第二结构体信息。

3.根据权利要求1所述的方法，其特征在于，所述根据所述第一结构体信息中包含的属性信息，确定DEX文件在所述待脱壳文件中的内存区域进一步包括：

根据所述第一结构体信息中包含的第一属性信息确定所述DEX文件的长度；

根据所述第一结构体信息中包含的第二属性信息确定所述DEX文件的起始位置；

根据所述DEX文件的长度以及DEX文件的起始位置确定所述DEX文件在所述待脱壳文件中的内存区域。

4.根据权利要求1所述的方法，其特征在于，所述利用所述第一结构体信息对所述第二结构体信息进行修复处理进一步包括：

分别确定所述第一结构体信息中的字节码以及第二结构体信息中的字节码；

将所述第一结构体信息中的字节码与第二结构体信息中的字节码进行比对，得到比对结果；

根据所述比对结果，确定所述第一结构体信息中第一字节码及所述第一字节码在所述第一结构体信息中的第一字节码位置，其中，所述第一字节码为所述第二结构体信息相对于所述第一结构体信息所缺失的字节码；

确定所述第二结构体信息中与所述第一字节码位置相对应的第二字节码位置；

将所述第一字节码替换到所述第二字节码位置处，得到修复后的第二结构体信息。

5.根据权利要求1所述的方法，其特征在于，所述监控待脱壳文件所运行的当前待脱壳方法进一步包括：

在解释器入口处插入监控代码，利用所述监控代码对经过所述解释器的当前待脱壳方法进行监控；

其中，所述解释器入口为所述待脱壳文件进入解释器函数的初始位置。

6.根据权利要求1所述的方法，其特征在于，所述方法执行之前，进一步包括：

将源码中虚拟机的可执行文件的解释模式修改为portable模式。

7.根据权利要求1所述的方法，其特征在于，所述判断当前待脱壳方法对应的进程是否为满足预设脱壳条件的进程进一步包括：

判断所述当前待脱壳方法对应的进程是否为与应用的功能相关的程序所涉及的进程，若是，则所述当前待脱壳方法对应的进程为满足预设脱壳条件的进程。

8.根据权利要求2所述的方法，其特征在于，所述将所述第一结构体信息进行存储进一步包括：

将所述第一结构体信息存储在哈希表中；或者将所述第一结构体信息存储在链表中；或者将所述第一结构体信息存储在二叉树中。

9.根据权利要求2所述的方法，其特征在于，所述预设阈值是根据所述待脱壳文件的大小确定的。