技術領域

本發明涉及計算機安全領域，尤其涉及一種指令重組方法及裝置。

背景技術

現有的電子信息安全領域包括系統安全、數據安全和設備安全三個子領域。

在數據安全領域內，一般采用下面三種技術確保數據安全：(1)數據內容安全技術，包括數據加密解密技術和端到端數據加密技術，保障數據在存儲和傳輸過程中內容不被非法讀取；(2)數據安全轉移技術，包括防止非法拷貝、打印或其它輸出，保障數據在使用和轉移過程中的安全；(3)網絡阻斷技術，包括網絡物理阻斷和設置網絡屏障等技術。

根據相關分析，目前針對計算機的所有危害總有效偵測能力最多在50％左右；由于上述技術在應對計算機內核病毒、木馬、操作系統漏洞、系統后門以及人為泄密時能力不足，事實上任何計算設備(例如計算機、手持通信設備等)都可能存在惡意代碼。一旦惡意代碼進入終端系統，上述的加密技術、防拷貝技術以及網絡阻斷技術在這種情況下將失去作用。現有的黑客技術可以利用系統漏洞或系統后門穿透上述安全技術并植入惡意代碼，并利用惡意代碼取得用戶數據。上述技術更無法防范涉密人員的主動或被動泄密，例如，內部人員可以攜帶存儲設備，從內部網絡或終端上下載所需的資料并帶走存儲設備，導致內部泄密；又例如，內部人員可以直接將計算設備帶走。

綜上，防拷貝技術無法保證涉密信息在終端不被非法存儲。基于網絡過濾無法確保涉密信息不丟失。涉密人員可通過惡意代碼或惡意工具造成泄密，還可能因涉密設備或存儲介質失控造成泄密。

發明內容

本發明提供一種指令重組方法及裝置，實現運行時指令的捕獲和重組。

根據本發明一個方面，提供一種運行時指令重組方法，包括：

步驟1、緩存指令運行環境；獲取棧中保存的跳轉指令的地址和參數，計算下一條即將運行的指令地址，該地址為第零地址；將第一地址設置為第零地址；

步驟2、利用第一地址來查找地址對應表，如果找到記錄，恢復所緩存的指令運行環境，并跳轉到找到的對應地址繼續執行，完成本次指令重組；

步驟3、如果沒有找到記錄，從第一地址開始獲取待執行的機器指令片段，指令片段的結尾為跳轉指令，跳轉指令所在地址為第三地址；

步驟4、從第一地址開始，將機器碼進行反匯編，并將反匯編結果通過一個詞法分析器進行處理，生成重組后的匯編代碼，直到第三地址為止；

步驟5、判斷第三地址處的跳轉指令的目標代碼是否可以進一步處理，如果可以，將第一地址設置為第三地址或第三地址的跳轉指令的目標地址，重新開始執行步驟3；

步驟6、如果不可以，在生成的重組后的匯編代碼最后，加入壓棧指令記錄當前第三地址的值和操作數，并在壓棧指令之后加入跳轉至重組平臺開始的指令；

步驟7、將生成的重組后的匯編代碼通過匯編器生成對應的機器碼，并存儲于重組地址空間中分配出的地址，該地址為第二地址；將第二地址和第零地址以對應地址對的形式存儲于地址對應表中；和

步驟8、恢復環境，并跳轉到第二地址繼續執行。

可選的，在步驟6之前，還包括：

解析所述待調度機器指令片段，利用指令集匹配所述機器指令片段，得到待處理的目標機器指令；

按照預定的方式，修改所述目標機器指令。

可選的，所述目標指令為存儲/讀取指令；

按照預定的方式，修改所述目標機器指令包括：修改其中的存儲和讀取地址為安全存儲設備上的地址。

可選的，所述目標指令為I/O指令；

按照預定的方式，修改所述目標機器指令包括：將所述I/O指令中的輸入指令全部阻止。

可選的，所述目標指令為網絡傳輸指令；

按照預定的方式，修改所述目標機器指令包括：檢驗所述網絡傳輸指令中的目標地址對應的遠端計算設備是否為安全地址(即允許訪問地址)；如果不是，阻止所述網絡傳輸指令。

根據本發明另一個方面，提供一種計算機可讀介質，所述可讀介質中存儲有計算機可執行的程序代碼，所述程序代碼用于執行上述方法的步驟。

本發明提供的方法和裝置可以實現運行時指令的捕獲和重組，并且，在獲取到待調度指令片段后，還可以對其中的機器指令進行分析以及處理，從而不僅可以實現運行時指令捕獲、重組，還可以實現對預定的目標指令的管理。

附圖說明

圖1是現有技術中計算設備的系統層次示意圖；

圖2是本發明一個實施例中提供的運行時指令重組方法的流程圖；

圖3是本發明一個實施例中提供的重組指令片段的生成過程示意圖；