-
公开(公告)号:CN105808981B
公开(公告)日:2018-06-19
申请号:CN201610135566.4
申请日:2016-03-10
Applicant: 西北大学
IPC: G06F21/14
Abstract: 本发明公开了一种反污点分析软件保护方法,属于计算机软件安全领域,所述方法包括确定待保护程序中被污点标记的数据,即污点数据,确定针对污点数据进行反污点变换的最佳位置,对最佳位置上的污点数据进行反污点变换,将最佳位置上的污点数据变换成没有被污点标记的数据。通过阻断污点数据传播,将被标记的数据通过反污点变换加工成没有被标记的数据,使得污点无法传播下去,从而增强逆向分析难度,以达到保护作用。
-
公开(公告)号:CN105787305B
公开(公告)日:2018-08-10
申请号:CN201610108081.6
申请日:2016-02-26
Applicant: 西北大学
IPC: G06F21/14
Abstract: 本发明公开了一种抵抗符号执行和污点分析的软件保护方法,步骤包括:步骤1,PE文件合法性检测;步骤2,定位关键代码段;步骤3,对关键代码段进行反汇编得到汇编指令即本地指令序列;步骤4,根据反汇编的结果,构建基本块起始地址和结束地址,和每个块的前必经节点块的起始和结束地址,和当前块的状态信息;步骤5,异常指令的设计与异常指令库建立;步骤6,建立中断地址信息表并对基本块进行处理;步骤7,添加异常处理机制;步骤8,对PE文件重构;该方法利用计算机系统,对windows系统下的可执行二进制代码文件进行指令级别保护,保护强度高、易于扩展。
-
公开(公告)号:CN104834837B
公开(公告)日:2017-10-31
申请号:CN201510158163.7
申请日:2015-04-03
Applicant: 西北大学
IPC: G06F21/14
Abstract: 本发明公开了一种基于语义的二进制代码反混淆方法,属于软件安全领域。所述发明包括提取目标程序的执行过程信息进而对所述执行过程信息进行污点分析,得到控制流图,根据控制流图对目标程序进行指令裁剪,得到简洁控制流图。本发明通过在判定目标程序为可执行文件后,执行目标程序,并获取执行过程中的所有数据,将所有数据中的关键数据以及与关键数据相关的指令序列进行标记,将带有标记的指令序列构建控制流图,最终删减控制流图中不带有标记的指令序列得到简洁控制流图,根据简洁控制流图就可以对恶意软件进行反混淆处理,避免了现有技术通用性差的缺陷,提高了反混淆处理适用对象的通用性,还在一定程度上降低了系统开销。
-
公开(公告)号:CN105808981A
公开(公告)日:2016-07-27
申请号:CN201610135566.4
申请日:2016-03-10
Applicant: 西北大学
IPC: G06F21/14
Abstract: 本发明公开了一种反污点分析软件保护方法,属于计算机软件安全领域,所述方法包括确定待保护程序中被污点标记的数据,即污点数据,确定针对污点数据进行反污点变换的最佳位置,对最佳位置上的污点数据进行反污点变换,将最佳位置上的污点数据变换成没有被污点标记的数据。通过阻断污点数据传播,将被标记的数据通过反污点变换加工成没有被标记的数据,使得污点无法传播下去,从而增强逆向分析难度,以达到保护作用。
-
公开(公告)号:CN104933359A
公开(公告)日:2015-09-23
申请号:CN201510256382.9
申请日:2015-05-19
Applicant: 西北大学
IPC: G06F21/56
CPC classification number: G06F21/566
Abstract: 本发明公开了一种恶意软件的多执行路径构造方法,属于计算机安全领域。所述发明包括获取初始控制流图以及根据初始控制流图构建完整控制流图两部分。本发明通过创建与目标程序对应的程序快照,在目标程序快要结束时,构建目标程序的控制流图,载入程序快照,对条件转移指令的执行路径进行修改,按修改后的指令路径继续执行目标程序,重复以上步骤,最终根据所有初级控制流图构建完整控制流图,根据完整控制流图得到目标程序即恶意软件的所有执行路径。相对于现有技术,可以避免只根据单一路径对目标程序进行分析时仅能获取目标程序的部分行为,减少由于无法获取目标程序的全部执行路径导致安全隐患以及带来的经济损失,并且降低系统开销。
-
Patent Agency Ranking
公开(公告)号:CN106096338B
公开(公告)日:2018-11-23
申请号:CN201610399231.3
申请日:2016-06-07
Applicant: 西北大学
IPC: G06F21/14
Abstract: 本发明公开了一种具有数据流混淆的虚拟化软件保护方法,步骤包括:步骤1,PE文件检测;步骤2,定位关键代码段;步骤3,将本地x86指令转化为虚拟指令;步骤4,对虚拟指令进行编码生成对应的字节码指令;步骤5,对虚拟机的调度结构进行双进程设计;步骤6,对虚拟机中的Handler进行数据流混淆;步骤7,隐藏程序中原本的谓词信息,并添加新的谓词信息构成假的执行流分支;步骤8,目标文件重构;该方法利用计算机系统,对windows系统下的可执行二进制代码文件进行虚拟化保护,保护强度高、易于扩展。
-
公开(公告)号:CN105653905B
公开(公告)日:2018-07-24
申请号:CN201510997890.2
申请日:2015-12-28
Applicant: 西北大学
Abstract: 本发明公开了一种基于API安全属性隐藏与攻击威胁监控的软件保护方法,该方法的步骤包括获取待保护文件的原始输入信息记录表、提取文件的执行控制流图、提取API调用点、提取API传参代码块、提取API返回值解密点、转储DLL,计算新的API入口地址、构造跳板函数块、在返回值解密点插入异常指令、构造节点,生成节点库、部署节点网,构造节点背景、构造返回值解密处理函数、PE文件重构。本方法从内、外两方面对软件进行保护,从攻击者逆向工程的角度出发,分析不同API边界信息在逆向分析过程中的作用,把需要隐藏的API安全属性和检测节点库置于程序新节中,并对新节入口进行了加密处理,进一步使得攻击者难以逆向分析保护后的PE文件。
-
公开(公告)号:CN105825086A
公开(公告)日:2016-08-03
申请号:CN201610149871.9
申请日:2016-03-16
Applicant: 西北大学
IPC: G06F21/12
Abstract: 本发明公开了一种基于攻击树的ROP防护方法,属于计算机软件安全领域,所述发明包括提取待保护程序和系统库文件中的gadgets指令片段,确定提取出的每一个gadgets指令片段的类型,选取多个敏感系统函数,利用提取出来的gadgets指令片段以构造攻击树的方法进行攻击建模,对所有攻击方法进行分析,得到关键的gadgets,最后对这些关键的gadgets进行保护。本发明通过使用攻击建模的方式对程序进行保护,加强了攻击者劫持控制流的难度,提高了保护效率,最终使得程序控制流更加的安全。
-
公开(公告)号:CN105787305A
公开(公告)日:2016-07-20
申请号:CN201610108081.6
申请日:2016-02-26
Applicant: 西北大学
IPC: G06F21/14
Abstract: 本发明公开了一种抵抗符号执行和污点分析的软件保护方法,步骤包括:步骤1,PE文件合法性检测;步骤2,定位关键代码段;步骤3,对关键代码段进行反汇编得到汇编指令即本地指令序列;步骤4,根据反汇编的结果,构建基本块起始地址和结束地址,和每个块的前必经节点块的起始和结束地址,和当前块的状态信息;步骤5,异常指令的设计与异常指令库建立;步骤6,建立中断地址信息表并对基本块进行处理;步骤7,添加异常处理机制;步骤8,对PE文件重构;该方法利用计算机系统,对windows系统下的可执行二进制代码文件进行指令级别保护,保护强度高、易于扩展。
-
公开(公告)号:CN104834837A
公开(公告)日:2015-08-12
申请号:CN201510158163.7
申请日:2015-04-03
Applicant: 西北大学
IPC: G06F21/14
Abstract: 本发明公开了一种基于语义的二进制代码反混淆方法,属于软件安全领域。所述发明包括提取目标程序的执行过程信息进而对所述执行过程信息进行污点分析,得到控制流图,根据控制流图对目标程序进行指令裁剪,得到简洁控制流图。本发明通过在判定目标程序为可执行文件后,执行目标程序,并获取执行过程中的所有数据,将所有数据中的关键数据以及与关键数据相关的指令序列进行标记,将带有标记的指令序列构建控制流图,最终删减控制流图中不带有标记的指令序列得到简洁控制流图,根据简洁控制流图就可以对恶意软件进行反混淆处理,避免了现有技术通用性差的缺陷,提高了反混淆处理适用对象的通用性,还在一定程度上降低了系统开销。
-
-
-
-
-
-
-
-
-
Search Results
18
records
(took 0.027 seconds)
