技術(shù)領(lǐng)域

本發(fā)明涉及計算機技術(shù)領(lǐng)域，尤指一種獲取導入表和重定位表的方法及裝置

背景技術(shù)

加殼是對可執(zhí)行程序資源進行處理的簡稱，是保護可執(zhí)行程序的常用手段，其原理是利用特殊算法，對可執(zhí)行程序里的資源進行壓縮、加密。加殼程序可以在設(shè)備上直接運行，但是不能獲取原始程序，要經(jīng)過脫殼才可以獲取。脫殼的過程主要分為如下三步：第一步，確定原始程序的入口點（Original?Entry?Point，OEP）；第二步，修復導入表和重定位表；第三步，將內(nèi)存中的原始程序?qū)懭胛募某绦虻男氯肟诘刂窞镺EP，這一步通常稱為轉(zhuǎn)儲（Dump）。

在為程序加殼的過程中，有時并沒有完全破壞原始程序的導入表和重定位表，這樣在運行加殼程序的過程中，原始程序的導入表和重定位表會完整重現(xiàn)或部分重現(xiàn)在內(nèi)存記錄的數(shù)據(jù)中，例如，導入表的數(shù)據(jù)包括A1、A2、A3，在T1時刻將導入表的數(shù)據(jù)A1寫入內(nèi)存地址x，在T2時刻將導入表的數(shù)據(jù)A2寫入內(nèi)存地址x+d1，在T3時刻導入表的數(shù)據(jù)A3寫入內(nèi)存地址x+d2，A1、A2、A3也可以稱為三種內(nèi)存狀態(tài)，那么將改寫數(shù)據(jù)A1A2A3進行組合就可以得到整個導入表。可見，對于導入表和重定位表沒有被完全破壞的加殼程序，在獲取到加殼程序運行過程中產(chǎn)生的所有的數(shù)據(jù)改寫信息、并確定加殼程序?qū)脑汲绦虻腛EP后，如果能將所有內(nèi)存狀態(tài)的可能組合還原，就可以在這些組合后的內(nèi)存狀態(tài)中獲取導入表和重定位表。

在獲取到的加殼程序運行過程中產(chǎn)生的數(shù)據(jù)改寫信息后，為了便于分析數(shù)據(jù)改寫信息從而得到導入表和重定位表，可以將數(shù)據(jù)改寫信息記錄在一個表格中，假設(shè)將獲取的數(shù)據(jù)改寫信息記錄在如下表中，其中x、x+d1、x+d2表示數(shù)據(jù)改寫地址，T1、T2、T3表示數(shù)據(jù)改寫時間，A1、A2、A3、B1、B2、B3、C1、C2、C3表示改寫數(shù)據(jù)，那么，根據(jù)獲取的數(shù)據(jù)改寫信息可以得出3*3*3=27中改寫數(shù)據(jù)的組合。

上表中僅示出了在T1、T2、T3這三個時刻，內(nèi)存地址x、x+d1、x+d2寫入數(shù)據(jù)的情況，這時就會得到27種改寫數(shù)據(jù)的組合，在實際運行一個加殼程序后，可能會得到大量的數(shù)據(jù)改寫信息，也可能會出現(xiàn)一個內(nèi)存地址被循環(huán)改寫多次的情況，這樣得到改寫數(shù)據(jù)的數(shù)量也是巨大的，然后將大量的改寫數(shù)據(jù)進行組合，就會得到非常多的改寫數(shù)據(jù)的組合，然后逐一在得到的改寫數(shù)據(jù)的組合中獲取導入表和重定位表將會非常耗時，效率也非常低。

發(fā)明內(nèi)容

本發(fā)明實施例提供一種獲取導入表和重定位表的方法及裝置，用以解決現(xiàn)有技術(shù)中在獲取沒有被完全破壞的導入表和重定位表時，耗時長、效率低的問題。

一種獲取導入表和重定位表的方法，包括：

記錄運行加殼程序過程中產(chǎn)生的數(shù)據(jù)改寫信息，所述數(shù)據(jù)改寫信息包括數(shù)據(jù)改寫地址、改寫數(shù)據(jù)和數(shù)據(jù)改寫時間；