本發明實施例公開了一種分析解釋例程的虛擬指令方法、裝置、設備及存儲介質，其中，所述分析解釋例程的虛擬指令方法，包括：將虛擬機保護的虛擬指令集進行簡化和歸類；簡化和歸類后分別形成為虛擬加載和存儲指令、虛擬運算指令、虛擬退棧指令和虛擬空指令。通過分析每個虛指令解釋例程的指令對局部變量區的讀次數，對操作數棧的讀次數和棧頂的改變值，以實現對虛指令的識別和寬分類目的。

技術領域

本發明涉及分析虛擬指令技術領域，也涉及信息安全、軟件分析、逆向工程和計算機軟件技術領域，尤指一種分析解釋例程的虛擬指令方法、裝置、設備及存儲介質。

背景技術

虛擬機保護技術常常被木馬等惡意程序利用進行免殺，增加惡意軟件查殺工具分析和檢測的難度和開銷，如何有效查殺惡意程序減少其對用戶的威脅，虛擬機保護的逆向分析惡意軟件檢測中具有至關重要的作用。在現有的虛擬機保護逆向分析研究成果中，有專家提出通過動態數據流分析、污點追蹤和聚類分析等手段獲取字節碼語法語義信息。這種方法只能還原部分字節碼的語義信息。有專家提出通過逆向虛擬機結構，簡化被混淆指令，將虛擬機指令轉換中間語言，然后將中間語言編譯轉換為對應的CPU指令的方法來還原被保護的代碼。但是，這種方法要求虛擬機解釋器的結構滿足特點條件，所以其不具有通用性。有專家提出通過識別被保護軟件的API調用，然后抽取出所有影響API參數的指令來近似表示程序的原始代碼。這種方法只能得到影響API參數的指令，其并不能有效還原被保護程序語義。

發明內容

本發明實施例提供了一種分析解釋例程的虛擬指令方法、裝置、設備及存儲介質，通過分析每個虛指令解釋例程的指令對局部變量區的讀次數，對操作數棧的讀次數和棧頂的改變值，以實現對虛指令的識別和寬分類目的。

本發明實施例提供了一種分析解釋例程的虛擬指令方法，包括：

將虛擬機保護的虛擬指令集進行簡化和歸類；

簡化和歸類后分別形成為虛擬加載和存儲指令、虛擬運算指令、虛擬退棧指令和虛擬空指令。

進一步的，所述虛擬加載和存儲指令涉及到一個變量或常量在局部變量表和操作數棧之間的傳遞；

所述虛擬運算指令的語義特征是它會去讀操作數棧而不改變操作數棧頂；

所述虛擬退棧指令用于直接控制操作數棧，它會將變量從操作數棧出棧從而改變操作數棧頂值，且對局部變量表沒有讀寫操作；

所述虛擬空指令vm_nop，其當操作數棧棧頂變化值為0、操作數棧讀寫次數為0且局部變量表讀次數為0時，判定此解釋例程沒有執行任何操作。

進一步的，所述虛擬運算指令讀操作數棧的次數是和根據算術符需要讀操作數的個數一致的。

進一步的，所述簡化和歸類的方法，包括：以操作數棧棧頂的變化值為主判斷依據，然后在其內部再進一步判斷其他條件，從而判定該解釋例程對應的指令類別。

進一步的，所述所述以操作數棧棧頂的變化值為主判斷依據，然后在其內部再進一步判斷其他條件，從而判定該解釋例程對應的指令類別的方法，包括：

遍歷所有的解釋例程集合，判斷操作數棧變化范圍。

如果操作數棧變化范圍小于0，則進一步判斷局部變量表的讀次數，如果大于0，則是Tload指令，等于0則是Tconst指令。

操作數棧變化值如果等于0，則進一步判斷操作數棧的讀次數，如果大于0，則是Tmath指令，如果等于0則是Tnop指令。

如果操作數棧變化值大于0，則進一步判斷局部變量表的讀次數，如果大于0，則是Tstore指令，等于0則是Tpop指令。

本發明實施例還提供一種分析解釋例程的虛擬指令裝置，包括：