文档介绍:去除花指令的方法及装置的制作方法
专利名称:去除花指令的方法及装置的制作方法
技术领域:
本发明涉及信息安全领域,特别涉及去除花指令的方法及装置。
技术背景
当前的网络环境中,存在着大量的恶意代码,并且,恶意代码的作者为了干扰 信转指令为jcc指令,则逆向查找第一个CMP指令、 SUB指令、TEST指令、OR指令或AND指令,则存储单元保存CMP指令寄存器、SUB指令寄存器、TEST指令寄存器、OR指令寄存器或AND指令寄存器;如果第二判断单元判断出循环跳转指令为jmp指令,则存储单元查找能够调出循环 体的组合指令,并保存所述指令寄存器。
所述的装置中,存储单元具体用于将写内存指令寄存器保存到寄存器链表中; 存储单元保存控制循环体寄存器包括将控制循环体寄存器保存到寄存器链表中; 对于保存的任意一个寄存器具体为对于寄存器链表中的任意一个寄存器。
所述的装置中,第三判断单元具体用于判断反汇编得到的指令是否是循环体结 束指令;或者,第三判断单元具体用于判断反汇编指令的数量是否达到预设的数量。
所述的装置中,满足停止查找的条件具体为查找到将数据从内存读取到CPU的 指令。
本发明提供了一种去除花指令的方法和装置,通过对缓冲区中的指令进行反汇 编,并保存所有反汇编得到的指令,保存所有的写内存指令及写内存指令寄存器,根据 写内存指令寄存器,逆向查找反汇编得到的所有指令,查找到所有与写内存指令寄存器 相关的指令,将反汇编得到的所有指令与寄存器相关指令进行比较,删除不同的指令, 删除的指令即为花指令,删除花指令不影响程序的正常运行,并解决了虚拟执行速度 慢,易分析失控的问题。
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描 述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中 记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还 可以根据这些附图获得其他的附图。
图1为本发明提供的一种去除花指令的方法流程图; 图2为本发明提供的一种去除花指令的装置结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明 的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一 步详细的说明。
本发明提供了一种去除花指令的方法及装置,解决了虚拟执行速度慢,易分析 失控的问题。
本发明提供了一种去除花指令的方法,包括步骤a:对内存缓冲区中的指令进行反汇编,并保存反汇编得到的指令; 步骤b:判断反汇编得到的指令是否是写内存指令,如果是,则查找并保存写内存 指令寄存器,转步骤d,否则,转步骤C;步骤c:判断反汇编得到的指令是否是循环跳转指令,如果是,则查找并保存控制循 环体寄存器,转步骤d,否则,直接转步骤d;步骤d:判断是否达到停止进行反汇编的条件,如果是,则转步骤e,否则,转步骤步骤e:对于保存的任意一个寄存器,在反汇编得到的所有指令中逆向查找与所述寄 存器相关的指令,当满足停止查找的条件时,停止查找与所述寄存器相关的指令;步骤f:当查找完所有寄存器的相关指令后,删除反汇编得到的所有指令中与寄存器 的相关指令不同的指令。
所述的方法中,判断反汇编得到的指令是否是写内存指令包括判断反汇编得到的指令中的目的操作数是否为内存地址