[发明专利]一种基于API安全属性隐藏与攻击威胁监控的软件保护方法

摘要

本发明公开了一种基于API安全属性隐藏与攻击威胁监控的软件保护方法，该方法的步骤包括获取待保护文件的原始输入信息记录表、提取文件的执行控制流图、提取API调用点、提取API传参代码块、提取API返回值解密点、转储DLL，计算新的API入口地址、构造跳板函数块、在返回值解密点插入异常指令、构造节点，生成节点库、部署节点网，构造节点背景、构造返回值解密处理函数、PE文件重构。本方法从内、外两方面对软件进行保护，从攻击者逆向工程的角度出发，分析不同API边界信息在逆向分析过程中的作用，把需要隐藏的API安全属性和检测节点库置于程序新节中，并对新节入口进行了加密处理，进一步使得攻击者难以逆向分析保护后的PE文件。

主权项

1.一种基于API安全属性隐藏与攻击威胁监控的软件保护方法，其特征在于，包括以下步骤：步骤一，从待保护的PE文件的输入表中提取DLL文件信息，将DLL文件信息记录在一个输入信息记录表imp_tab中；步骤二，提取PE文件的执行控制流图CFG；步骤三，提取API调用点，得到调用点集合cs_set；步骤四，提取API传参代码块；步骤五，提取API返回值解密点；步骤六，转储输入信息记录表imp_tab中的DLL文件信息至新的地址空间，计算转储后新的API入口地址；步骤七，构造跳板函数块SpringBlock，以正确指导步骤六转储的API从旧地址到新地址的寻址；步骤八，在返回值解密点插入异常指令，以保证保护后的PE文件在执行过程中，遇到异常指令时，程序转入预先设置的返回值解密处理函数中；步骤九，构造能检测软件执行过程中所面临威胁的节点，生成节点库；首先，使用<威胁目的，实施方式，作用对象>的描述方式对这其中威胁进行细致划分和形式化表示；其次，提取威胁特征，考虑时可以结合三个因素：①威胁的实施方式，②威胁的作用对象，③威胁造成的影响；最后，根据特征构造检测此威胁的代码片，及检测结点；步骤十，部署节点网，构造节点网通信的数据结构；步骤十一，构造返回值解密处理函数；步骤十二，对PE文件进行重构计算保护方案各个部分的总大小为size，申请size大小的由Pbase指向的存储空间，将所述各个部分保存到该空间内；创建一个PE新节，将Pbase处的大小为size的内容复制到该新节里，保存修改后的PE文件。