[发明专利]应用文件的脱壳方法及装置在审
| 申请号: | 201810697123.3 | 申请日: | 2018-06-29 |
| 公开(公告)号: | CN108985015A | 公开(公告)日: | 2018-12-11 |
| 发明(设计)人: | 汪德嘉;华保健;田凯;王明慧 | 申请(专利权)人: | 江苏通付盾信息安全技术有限公司 |
| 主分类号: | G06F21/12 | 分类号: | G06F21/12 |
| 代理公司: | 北京市浩天知识产权代理事务所(普通合伙) 11276 | 代理人: | 宋菲;刘云贵 |
| 地址: | 215021 江苏省苏州市工业*** | 国省代码: | 江苏;32 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 脱壳 应用文件 结构体信息 进程信息 读取 内存数据 脱壳效果 解释器 入口处 预设 成功率 进程 转换 保证 | ||
1.一种应用文件的脱壳方法,其特征在于,包括:
在解释器入口处读取当前待脱壳方法对应的进程信息;
根据所述当前待脱壳方法对应的进程信息,判断当前待脱壳方法对应的进程是否为满足预设脱壳条件的进程;若是,则将所述当前待脱壳方法的内存数据转换为第一结构体信息;
根据所述第一结构体信息确定待脱壳文件对应的DEX文件。
2.根据权利要求1所述的方法,其特征在于,所述根据所述第一结构体信息确定待脱壳文件对应的DEX文件进一步包括:
根据所述第一结构体信息中包含的属性信息,确定所述DEX文件在所述待脱壳文件中的内存区域;
提取所述内存区域中的文件作为所述待脱壳文件对应的DEX文件。
3.根据权利要求2所述的方法,其特征在于,所述根据所述第一结构体信息中包含的属性信息,确定所述DEX文件在所述待脱壳文件中的内存区域进一步包括:
根据所述第一结构体信息中包含的第一属性信息确定所述DEX文件的长度;
根据所述第一结构体信息中包含的第二属性信息确定所述DEX文件的起始位置;
根据所述DEX文件的长度以及DEX文件的起始位置确定所述DEX文件在所述待脱壳文件中的内存区域。
4.根据权利要求1所述的方法,其特征在于,所述在解释器入口处读取当前待脱壳方法对应的进程信息进一步包括:
在解释器入口处插入监控代码,利用所述监控代码对经过所述解释器的当前待脱壳方法进行监控;
读取监控到的当前待脱壳方法的进程信息;
其中,所述解释器入口为所述待脱壳文件进入解释器函数的初始位置。
5.根据权利要求1所述的方法,其特征在于,所述方法执行之前,进一步包括:
将源码中虚拟机的可执行文件的解释模式修改为portable模式。
6.根据权利要求1所述的方法,其特征在于,所述判断当前待脱壳方法对应的进程是否为满足预设脱壳条件的进程进一步包括:判断所述进程是否为与应用的功能相关的程序所涉及的进程,若是,则所述进程为满足预设脱壳条件的进程。
7.一种应用文件的脱壳装置,其特征在于,包括:
读取模块,适于在解释器入口处读取当前待脱壳方法对应的进程信息;
判断模块,适于根据所述当前待脱壳方法对应的进程信息,判断当前待脱壳方法对应的进程是否为满足预设脱壳条件的进程;
转换模块,适于若判断出当前待脱壳方法对应的进程为满足预设脱壳条件的进程,则将所述当前待脱壳方法的内存数据转换为第一结构体信息;
脱壳模块,适于根据所述第一结构体信息确定待脱壳文件对应的DEX文件。
8.根据权利要求7所述的装置,其特征在于,所述脱壳模块进一步适于:
根据所述第一结构体信息中包含的属性信息,确定所述DEX文件在所述待脱壳文件中的内存区域;
提取所述内存区域中的文件作为所述待脱壳文件对应的DEX文件。
9.一种计算设备,包括:处理器、存储器、通信接口和通信总线,所述处理器、所述存储器和所述通信接口通过所述通信总线完成相互间的通信;
所述存储器用于存放至少一可执行指令,所述可执行指令使所述处理器执行如权利要求1-6任一项所述的应用文件的脱壳方法对应的操作。
10.一种计算机存储介质,所述存储介质中存储有至少一可执行指令,所述可执行指令使所述处理器执行如权利要求1-6任一项所述的应用文件的脱壳方法对应的操作。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于江苏通付盾信息安全技术有限公司,未经江苏通付盾信息安全技术有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201810697123.3/1.html,转载请声明来源钻瓜专利网。
