本發明實施例公開了一種操作數棧寄存器識別方法、裝置、設備及存儲介質，其中，所述操作數棧寄存器識別方法，包括：確定每個解釋例程執行前后所有寄存器的值，使用寄存器作為健值的兩個容器來記錄這兩組狀態；先確認在進入虛擬機之前，操作數棧所對應的寄存器；然后跟蹤分析操作數棧的變化情況進一步確定每個解釋例程操作數棧所對應的寄存器。根據解釋例程執行的特征，以及寄存器的變化范圍確認每個解釋例程操作數棧所對應的寄存器，有助于后續的虛擬指令語法和語義分析。

技術領域

本發明涉及操作數棧寄存器技術領域，也涉及信息安全、軟件分析、逆向工程和計算機軟件技術領域，特別涉及一種操作數棧寄存器識別方法、裝置、設備及存儲介質，尤指一種虛擬機保護的解釋例程操作數棧寄存器識別方法、裝置、設備及存儲介質。

背景技術

虛擬機保護是結合虛擬化和代碼混淆實現軟件保護的一種技術，現有的代碼反混淆分析方法還原被虛擬機保護的軟件時存在較大困難。有文獻提出以動態二進制插樁平臺Pin作為支撐，跟蹤記錄被虛擬機保護的算法在動態執行過程中的數據流信息，對記錄的數據流信息進行整理分析，獲取虛擬機指令的解釋執行軌跡，還原程序的控制流圖，根據軌跡信息對數據生成過程進行分層次、分階段還原，并由分析人員結合控制流圖和數據生成過程進行算法重構。然而，該方法還原的控制流圖準確性不高，且無法實現對虛擬指令的逆向還原。

發明內容

本發明實施例提供了一種操作數棧寄存器識別方法、裝置、設備及存儲介質，針對虛擬機軟件保護的逆向工程分析，通過特征匹配和寄存器變化值的范圍分析，以達到準確識別解釋例程中的操作數棧對應的寄存器目的。

本發明實施例提供了一種操作數棧寄存器識別方法，包括：

確定每個解釋例程執行前后所有寄存器的值，使用寄存器作為健值的兩個容器來記錄這兩組狀態；

先確認在進入虛擬機之前，操作數棧所對應的寄存器；

然后跟蹤分析操作數棧的變化情況進一步確定每個解釋例程操作數棧所對應的寄存器。

進一步的，在每個解釋例程的記錄中，第1行會顯示每個寄存器的值，之后每條記錄的最后1列會記錄每條指令執行后被修改的寄存器及其被修改后的值。

進一步的，虛擬機會通過設定的方式切換操作數棧所對應的寄存器。

進一步的，所述解釋例程操作數棧所對應的寄存器判定的方法，包括如下步驟：

遍歷解釋例程中的指令序列，使用正則表達式來匹配所述特征，如果匹配到設定的指令特征一，則置標志變量的值為True；

待后續匹配到設定的指令特征二，認定操作數棧所對應的寄存器發生變化，記錄指令特征二的另一個寄存器為寄存器，并在遍歷結束后并設置解釋例程的值為寄存器一的值；

如果在匹配到mov指令特征二之前沒有匹配到xchg指令特征一，則判定其疑似發生變化并設置op_stack_reg_candidate；

在解釋例程指令序列一次遍歷結束后，解釋例程的exit_status和enter_status判斷操作數棧頂的變化值，如果按照操作數棧對應寄存器沒變化的情況計算其變化值超出了正常的變化范圍[-8,8]，則認定疑似變化的op_stack_reg_candidate是真實變化的情況，修改該解釋例程的op_stack_exit_reg值為op_stack_reg_candidate。

本發明實施例還提供一種操作數棧寄存器識別裝置，包括：

記錄模塊，用于確定每個解釋例程執行前后所有寄存器的值，使用寄存器作為健值的兩個容器來記錄這兩組狀態；

確認模塊，用于先確認在進入虛擬機之前，操作數棧所對應的寄存器；