[发明专利]软件保护壳的壳特征提取方法

摘要

该发明属于网络安全技术领域中针对恶意软件软件保护壳的壳特征提取方法；包括对有壳保护的软件初始化处理，断点位置参数的提取，原始入口点参数的预提取，输入表数据的获得及原始入口点参数的验证，壳特征输出。该发明首先提取用于获取输入表的断点位置参数，再针对原始入口点参数进行预提取、进而获得原始入口点参数，最后将所得壳名称、壳版本及其原始入口点参数和断点位置参数一并作为相应软件壳的特征输出。该发明可有效地对各类恶意软件保护壳的壳特征进行提取，为此后对恶意软件保护壳进行自动脱壳处理，清除恶意软件的保护屏障，为计算机的正常运行、社会正常的经济活动、通讯，甚至国家的安全保障提供有效的基础条件等特点。

主权项

一种软件保护壳的壳特征提取方法，包括：步骤1.初始化处理：将有壳保护的软件录入系统内存，并对壳类型、壳版本命名并记录，待用；步骤2.断点位置参数的提取：对步骤1录入的有壳保护的软件找出所有系统调用；对每种系统调用，分别进行初步判断是壳初始化时所用、还是壳处理输入表时所用；并对壳初始化时所用系统调用作丢弃处理，而对壳处理输入表时所用系统调用、则再通过反复比对调试，以最终确认壳处理输入表时所用的系统调用，然后将经确认的各系统调用在调用前的位置作为壳特征中的断点位置参数记录后、供步骤5用；当对所有系统调用处理完后转步骤4；步骤3.入口点参数的预提取：对步骤1录入的有壳保护的软件的原始入口点参数进行预提取、以获得入口点的初选参数；入口点初选参数是采用入口点参数分析方法从有壳保护的软件中获取，取得入口点初选参数后、转步骤4；步骤4.输入表数据的获得及原始入口点参数的验证：对从步骤2得到的所有断点位置参数进行调试，通过断点回调函数获得输入表中所有参数并记录；同时使用输入表中所有参数和从步骤3得到的入口点初选参数，通过内存转储和PE结构修复，并确认入口点初选参数是否为原始入口点参数；确认的过程为：如果修复后的软件能够正常运行、则入口点初选参数的确为原始入口点数据，然后转步骤5；如果不能正常运行、则丢弃，并返回步骤3重新对原始入口点参数进行预提取；步骤5.壳特征输出：将步骤2获得并记录的断点位置参数，以及步骤4获得的原始入口点参数，连同经步骤1命名的壳类型及壳版本名称一并作为本发明方法所得壳特征参数输出。