[发明专利]一种获取被感染的宿主程序的解密方法及系统

说明书

技术领域

本发明涉及信息安全技术领域，尤其涉及一种获取被感染的宿主程序的解密方法及系统。

背景技术

病毒感染宿主程序，并不是要杀死宿主，而是在用户运行宿主程序时先运行自身，完成恶性事件后，再运行宿主程序。

制作病毒的解毒程序是分析被该病毒感染的宿主程序，找到宿主程序所在位置将入口点直接指向宿主程序，并清除病毒代码，即完成解毒工作。

病毒感染时往往会把宿主程序进行加密，如果分析人员要获得宿主程序，必须要找到病毒的解密代码部分，充分了解病毒的解密算法，才能根据该算法写出解毒程序。

发明内容

为了克服现有技术方案的不足,本发明提供一种获取被感染的宿主程序的解密方法及系统，包括分析已感染的宿主程序，确定恶意代码的解密函数的信息位置及状态参数；根据所述状态参数编写汇编代码，将宿主文件写入内存中；根据所述解密函数的位置信息以及状态参数，将写入内存中的宿主文件中的解密函数移动至代码段并进行相应配置；运行移动至代码段的解密函数，获得宿主程序代码，调整程序入口点并保存。本发明中分析人员从始至终都不需要了解病毒的解密方法，以及所需要的参数信息的含义，可以提高分析人员的分析效率，充分利用在动态分析病毒的过程中获得到的病毒的解密方法。

本发明解决其技术问题所采用的技术方案是：一种获取被感染的宿主程序的解密方法，包括如下步骤：

(S101)分析已感染的宿主程序，确定恶意代码的解密函数的信息位置及状态参数；

(S102)根据所述状态参数编写汇编代码，将宿主文件写入内存中；

(S103)根据所述解密函数的位置信息以及状态参数，将写入内存中的宿主文件中的解密函数移动至代码段并进行相应配置；

(S104)运行移动至代码段的解密函数，获得宿主程序代码，调整程序入口点并保存。

作为本发明一种优选的技术方案，所述步骤(S103)中所态参数包括：汇编环境OD中寄存器、堆、栈所需参数以及解密明文所存储的位置。

作为本发明一种优选的技术方案，所述步骤(S103)中进行相应配置具体为：将写入内存中的宿主文件中相应的状态参数配置到寄存器、堆、栈。

另外本发明还设计了一种获取被感染的宿主程序的解密系统，包括：

分析模块，用于分析已感染的宿主程序，确定恶意代码的解密函数的信息位置及状态参数；

写入模块，用于根据所述状态参数编写汇编代码，将宿主文件写入内存中；

配置模块，用于根据所述解密函数的位置信息以及状态参数，将写入内存中的宿主文件中的解密函数移动至代码段并进行相应配置；

运行模块，用于运行移动至代码段的解密函数，获得宿主程序代码，调整程序入口点并保存。

与现有技术相比，本发明的有益效果是：本发明设计的方法和系统，分析人不必知道恶意代码的解密方法就可以通过本方法模拟病毒解密，从而实现解密的过程。节省分析人员的时间和精力，仅仅需要分析人员找到解密程序的入口以及所需要的状态环境以及参数即可，很大提高分析人员的分析效率，充分利用在动态分析病毒的过程中获得到的病毒的解密方法。

附图说明

图1为本发明一种获取被感染的宿主程序的解密方法流程图；

图2为本发明一种获取被感染的宿主程序的解密系统结构图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

实施例：

如图1所示，本发明给出了一种获取被感染的宿主程序的解密方法，其具体步骤包括：

S101、分析已感染的宿主程序，确定恶意代码的解密函数的信息位置及状态参数；

S102、根据所述状态参数编写汇编代码，将宿主文件写入内存中；

S103、根据所述解密函数的位置信息以及状态参数，将写入内存中的宿主文件中的解密函数移动至代码段并进行相应配置；

S104、运行移动至代码段的解密函数，获得宿主程序代码，调整程序入口点并保存。

所述状态参数包括：汇编环境OD中寄存器、堆、栈所需参数以及解密明文所存储的位置；所述进行相应配置具体为：将写入内存中的宿主文件中相应的状态参数配置到寄存器、堆、栈。