-
公开(公告)号:CN105808981B
公开(公告)日:2018-06-19
申请号:CN201610135566.4
申请日:2016-03-10
Applicant: 西北大学
IPC: G06F21/14
Abstract: 本发明公开了一种反污点分析软件保护方法,属于计算机软件安全领域,所述方法包括确定待保护程序中被污点标记的数据,即污点数据,确定针对污点数据进行反污点变换的最佳位置,对最佳位置上的污点数据进行反污点变换,将最佳位置上的污点数据变换成没有被污点标记的数据。通过阻断污点数据传播,将被标记的数据通过反污点变换加工成没有被标记的数据,使得污点无法传播下去,从而增强逆向分析难度,以达到保护作用。
-
公开(公告)号:CN105825086A
公开(公告)日:2016-08-03
申请号:CN201610149871.9
申请日:2016-03-16
Applicant: 西北大学
IPC: G06F21/12
Abstract: 本发明公开了一种基于攻击树的ROP防护方法,属于计算机软件安全领域,所述发明包括提取待保护程序和系统库文件中的gadgets指令片段,确定提取出的每一个gadgets指令片段的类型,选取多个敏感系统函数,利用提取出来的gadgets指令片段以构造攻击树的方法进行攻击建模,对所有攻击方法进行分析,得到关键的gadgets,最后对这些关键的gadgets进行保护。本发明通过使用攻击建模的方式对程序进行保护,加强了攻击者劫持控制流的难度,提高了保护效率,最终使得程序控制流更加的安全。
-
公开(公告)号:CN105787305A
公开(公告)日:2016-07-20
申请号:CN201610108081.6
申请日:2016-02-26
Applicant: 西北大学
IPC: G06F21/14
Abstract: 本发明公开了一种抵抗符号执行和污点分析的软件保护方法,步骤包括:步骤1,PE文件合法性检测;步骤2,定位关键代码段;步骤3,对关键代码段进行反汇编得到汇编指令即本地指令序列;步骤4,根据反汇编的结果,构建基本块起始地址和结束地址,和每个块的前必经节点块的起始和结束地址,和当前块的状态信息;步骤5,异常指令的设计与异常指令库建立;步骤6,建立中断地址信息表并对基本块进行处理;步骤7,添加异常处理机制;步骤8,对PE文件重构;该方法利用计算机系统,对windows系统下的可执行二进制代码文件进行指令级别保护,保护强度高、易于扩展。
-
公开(公告)号:CN105787305B
公开(公告)日:2018-08-10
申请号:CN201610108081.6
申请日:2016-02-26
Applicant: 西北大学
IPC: G06F21/14
Abstract: 本发明公开了一种抵抗符号执行和污点分析的软件保护方法,步骤包括:步骤1,PE文件合法性检测;步骤2,定位关键代码段;步骤3,对关键代码段进行反汇编得到汇编指令即本地指令序列;步骤4,根据反汇编的结果,构建基本块起始地址和结束地址,和每个块的前必经节点块的起始和结束地址,和当前块的状态信息;步骤5,异常指令的设计与异常指令库建立;步骤6,建立中断地址信息表并对基本块进行处理;步骤7,添加异常处理机制;步骤8,对PE文件重构;该方法利用计算机系统,对windows系统下的可执行二进制代码文件进行指令级别保护,保护强度高、易于扩展。
-
公开(公告)号:CN105808981A
公开(公告)日:2016-07-27
申请号:CN201610135566.4
申请日:2016-03-10
Applicant: 西北大学
IPC: G06F21/14
Abstract: 本发明公开了一种反污点分析软件保护方法,属于计算机软件安全领域,所述方法包括确定待保护程序中被污点标记的数据,即污点数据,确定针对污点数据进行反污点变换的最佳位置,对最佳位置上的污点数据进行反污点变换,将最佳位置上的污点数据变换成没有被污点标记的数据。通过阻断污点数据传播,将被标记的数据通过反污点变换加工成没有被标记的数据,使得污点无法传播下去,从而增强逆向分析难度,以达到保护作用。
-
Patent Agency Ranking
公开(公告)号:CN104933359A
公开(公告)日:2015-09-23
申请号:CN201510256382.9
申请日:2015-05-19
Applicant: 西北大学
IPC: G06F21/56
CPC classification number: G06F21/566
Abstract: 本发明公开了一种恶意软件的多执行路径构造方法,属于计算机安全领域。所述发明包括获取初始控制流图以及根据初始控制流图构建完整控制流图两部分。本发明通过创建与目标程序对应的程序快照,在目标程序快要结束时,构建目标程序的控制流图,载入程序快照,对条件转移指令的执行路径进行修改,按修改后的指令路径继续执行目标程序,重复以上步骤,最终根据所有初级控制流图构建完整控制流图,根据完整控制流图得到目标程序即恶意软件的所有执行路径。相对于现有技术,可以避免只根据单一路径对目标程序进行分析时仅能获取目标程序的部分行为,减少由于无法获取目标程序的全部执行路径导致安全隐患以及带来的经济损失,并且降低系统开销。
-
公开(公告)号:CN105653908B
公开(公告)日:2018-12-25
申请号:CN201511025912.5
申请日:2015-12-31
Applicant: 西北大学
IPC: G06F21/14
Abstract: 本发明公开了一种隐式反调试保护方法,属于计算机软件安全领域。所述发明包括选取待保护程序中的程序变量,确定与待保护程序对应的反调试程序,选取反调试程序的关键值,结合反调试程序的关键值对程序变量进行加密,得到加密处理后的程序,执行加密处理后的程序,如果加密处理后的程序在被调试时出现异常,而当加密处理后的程序在未被调试时执行正常,则隐式反调试保护有效。通过使用获取到的关键值对程序变量进行加密的方式对待保护程序中的关键代码进行保护,加强了反调试代码的隐蔽性,提高了被检测出的难度,增大了逆向人员的工作量,最终使得反调试保护强度增强。
-
公开(公告)号:CN105825086B
公开(公告)日:2018-07-24
申请号:CN201610149871.9
申请日:2016-03-16
Applicant: 西北大学
IPC: G06F21/12
Abstract: 本发明公开了一种基于攻击树的ROP防护方法,属于计算机软件安全领域,所述发明包括提取待保护程序和系统库文件中的gadgets指令片段,确定提取出的每一个gadgets指令片段的类型,选取多个敏感系统函数,利用提取出来的gadgets指令片段以构造攻击树的方法进行攻击建模,对所有攻击方法进行分析,得到关键的gadgets,最后对这些关键的gadgets进行保护。本发明通过使用攻击建模的方式对程序进行保护,加强了攻击者劫持控制流的难度,提高了保护效率,最终使得程序控制流更加的安全。
-
公开(公告)号:CN104933359B
公开(公告)日:2018-04-24
申请号:CN201510256382.9
申请日:2015-05-19
Applicant: 西北大学
IPC: G06F21/56
Abstract: 本发明公开了一种恶意软件的多执行路径构造方法,属于计算机安全领域。所述发明包括获取初始控制流图以及根据初始控制流图构建完整控制流图两部分。本发明通过创建与目标程序对应的程序快照,在目标程序快要结束时,构建目标程序的控制流图,载入程序快照,对条件转移指令的执行路径进行修改,按修改后的指令路径继续执行目标程序,重复以上步骤,最终根据所有初级控制流图构建完整控制流图,根据完整控制流图得到目标程序即恶意软件的所有执行路径。相对于现有技术,可以避免只根据单一路径对目标程序进行分析时仅能获取目标程序的部分行为,减少由于无法获取目标程序的全部执行路径导致安全隐患以及带来的经济损失,并且降低系统开销。
-
公开(公告)号:CN105653908A
公开(公告)日:2016-06-08
申请号:CN201511025912.5
申请日:2015-12-31
Applicant: 西北大学
IPC: G06F21/14
CPC classification number: G06F21/14
Abstract: 本发明公开了一种隐式反调试保护方法,属于计算机软件安全领域。所述发明包括选取待保护程序中的程序变量,确定与待保护程序对应的反调试程序,选取反调试程序的关键值,结合反调试程序的关键值对程序变量进行加密,得到加密处理后的程序,执行加密处理后的程序,如果加密处理后的程序在被调试时出现异常,而当加密处理后的程序在未被调试时执行正常,则隐式反调试保护有效。通过使用获取到的关键值对程序变量进行加密的方式对待保护程序中的关键代码进行保护,加强了反调试代码的隐蔽性,提高了被检测出的难度,增大了逆向人员的工作量,最终使得反调试保护强度增强。
-
-
-
-
-
-
-
-
-
Search Results
10
records
(took 0.019 seconds)
