[发明专利]一种动态链接库缺失的可执行程序的动态分析方法

权利要求书

1.一种动态链接库缺失的可执行程序的动态分析方法，包括如下步骤：

1)预先生成一种子DLL；其中种子DLL为DLL模板，用于生成所有程序样本导入的DLL；

2)判断待分析的程序样本是否具有合法的导入表，如是，则执行步骤3)，否则终止对该样本的分析并输出错误信息；

3)通过解析导入表结构，提取程序样本导入的DLL信息；

4)针对程序样本导入的每一个DLL都生成种子DLL的一个拷贝，并修改该拷贝名称使之与所针对的DLL名称一致；

5)根据步骤3)得到的DLL信息，对生成的DLL拷贝的导出表进行修改，使其形成程序样本依赖的DLL。

2.如权利要求1所述的动态链接库缺失的可执行程序的动态分析方法，其特征在于，还包括：6)根据步骤5)形成全部程序样本导入的DLL，将这些DLL移动到用户指定目录，并向用户报告生成结果。

3.如权利要求1所述的动态链接库缺失的可执行程序的动态分析方法，其特征在于，步骤1)中所述种子DLL导出了足够多函数。

4.如权利要求3所述的动态链接库缺失的可执行程序的动态分析方法，其特征在于，步骤1)中根据分析平台的系统版本，编译所述种子DLL；所述种子DLL导出了的函数的个数不小于9999个。

5.如权利要求1所述的动态链接库缺失的可执行程序的动态分析方法，其特征在于，步骤1)中编译所述种子DLL的同时记录分析平台所有的系统DLL名称；步骤3)提取程序样本导入的DLL信息时，排除步骤1)中记录的系统DLL。

6.如权利要求1所述的动态链接库缺失的可执行程序的动态分析方法，其特征在于，通过解析程序样本的文件头，判断程序样本是否具有合法的导入表。

7.如权利要求1所述的动态链接库缺失的可执行程序的动态分析方法，其特征在于，步骤3)中所述程序样本导入的DLL信息包括：程序样本导入的所有DLL名称及导入的各DLL对应的函数信息。

8.如权利要求7所述的动态链接库缺失的可执行程序的动态分析方法，其特征在于，所述函数信息包括按名称导入的函数的信息和按序号导入的函数的信息。

9.如权利要求8所述的动态链接库缺失的可执行程序的动态分析方法，其特征在于，按序号导入的函数的信息包括按函数序号导入的函数的序号值，按名称导入的函数的信息包括按函数名称导入的函数的字符串名和hint值。

10.如权利要求1所述的动态链接库缺失的可执行程序的动态分析方法，其特征在于，步骤5)中对DLL拷贝的导出表进行修改过程中，对于按名称导入的函数，在导出表中随机选取一项，修改其导出的函数名称，使之与导入的函数名称相同；对于按序号导入的函数，检查导出表中是否导出了具有该序号的函数。