[发明专利]防止ELF程序被逆向分析的方法、装置及系统

说明书

本发明公开了一种防止ELF程序被逆向分析的方法、装置及系统，所述方法包括在ELF程序编译生成之后，利用其自身的信息，经过变换后，生成级联密钥；利用所述级联秘钥对ELF程序的关键头部和信息进行加密处理，形成加密的ELF程序；当执行所述加密的ELF程序时，通过内核对其进行加载、解密和执行。本发明有效地解决了防止ELF执行程序被逆向的问题，避免程序逻辑外泄，减小系统和装置被攻击的风险。

技术领域

本发明属于信息安全技术领域，具体涉及一种防止ELF程序被逆向分析的方法、装置及系统。

背景技术

ELF是Executable and Linkable Format的缩写，是Linux系统上的执行程序的文件格式。ELF文件虽然是二进制的，但是有清晰的格式定义，现有大量的逆向分析工具，可以直接分析ELF文件，提取文件头、代码段、数据段等，用以分析程序的实现逻辑，或者修改程序的关键逻辑，以达到攻击系统的目的。

工程上，一般都是采用直接发布ELF格式文件的方式，进行对外程序发布。在程序的发布过程中，有可能被非法获取，被逆向分析，窥探其内部的代码逻辑。这对于关键领域的系统或装置，是非常不安全的，也是非常危险的。另外，对于保护知识产权方面，也是有伤害的。

ELF文件结构如图1所示，主要包括ELF文件头、程序头表、节区头表等。一个ELF文件中不一定包含全部内容，而且它们的位置也不是固定的，只有ELF头的位置是固定的，其余各部分的位置、大小等信息由ELF头中的各项值来决定。

文件头(ELF header)：描述整个ELF文件的组织结构，具体成员及含义如图2所示。

程序头部表格(Program Header Table)：描述的是每一个段(segment)在文件中的位置、大小以及它被放进内存后所在的位置和大小。在程序执行时，根据表头的中的各个段的信息进行加载执行。

节区头部表格(Section Header Table)：包含了文件各个节(section)的属性信息。其中包括指向了代码段(.text)的偏移和大小，这是程序执行的核心逻辑。

发明内容

针对ELF执行程序可能在发布流转环节泄露出去，被恶意逆向分析，获取代码实现逻辑，对系统或装置造成安全风险，本发明提出了一种防止ELF程序被逆向分析的方法、装置及系统。

为了实现上述技术目的，达到上述技术效果，本发明通过以下技术方案实现：

第一方面，本发明提供了一种防止ELF程序被逆向分析的方法，包括：

在ELF程序编译生成之后，利用其自身的信息，经过变换后，生成级联密钥；利用所述级联秘钥对ELF程序的关键头部和信息进行加密处理，形成加密的ELF程序；

当执行所述加密的ELF程序时，通过内核对其进行加载、解密和执行。

可选地，所述加密的ELF程序的形成方法包括以下步骤：

修改ELF程序的文件标识，用于进行区分加载处理，兼容原有正常的ELF文件格式；

使用ELF程序文件头信息作为输入，经过处理变换后，得到一组字符串，作为后续加密的密钥key1；

根据ELF程序文件头信息中的程序头部表格的信息定位获取程序头信息，使用密钥key1对其进行国密对称加密，替换程序头部表格内容为密文，所述密文的长度与程序头部表格内容的长度一致；

根据ELF程序文件头信息中的节区头部表格的信息定位获取节区头部表格信息，使用节区头部表格信息作为输入，经过处理变换后，得到一组字符串，作为后续加密的密钥key2；