[发明专利]Windows应用程序内部固化数据的提取系统

说明书

技术领域

本发明涉及一种信息处理技术领域的系统，具体是一种Windows应用程序内 部固化数据的提取系统。

背景技术

软件产品通常是指编译后可执行的静态代码指令集合的抽象，而实际运行 中，软件被加载到内存中，成为程序体或进程体，其中不仅包括静态的代码指令， 还包括了动态的数据信息。在程序运行时，存在多种类型的数据信息，可能为程 序接受外部输入的信息，可能为程序内部固定的信息，可能为程序以某种变换方 式将输入变换为输出的信息。通常情况下，软件分析只能从外部视角观察程序的 数据信息，不能判定信息的类型，也不能确定是否观察到所有的信息。

应用程序内部的固定数据信息，可以视为作为程序本身的性质，一方面，其 在程序的正常运行中提供了数据源，另一方面，其在程序的安全分析和性质判定 中具有重要的参考价值。如白盒密码学软件中的密钥信息、恶意软件中的IP地 址信息等，都能为软件分析和理解提供重要的分析线索。此外，程序内部固化数 据还是计算机取证的重要依据。

应用程序内部的固定数据信息，具有如下性质：首先，对于相同的软件产品 拷贝，在不同的计算机上这些数据信息是不变的；其次，此类数据不依赖外部输 入；第三，此类信息可能以明文或加密的形式存放在软件的发行文件中，但是如 果以加密形式存放，其解密还原必须不依赖第三方而完成，满足软件自身即可运 行的原子性。

对于应用程序的内部数据信息的分析，传统的黑盒分析方法无法应用，必须 采用白盒分析方法对其进行分析。通常情况下，需要分析的软件并未提供高级语 言的源代码，只有二进制编译的发布文件，存在若干技术/工具，可以对二进制 编译形式的软件代码进行分析，例如DataRescue公司的IDA pro静态反汇编分 析软件等，然而此类工具的局限性在于只能分析静态数据，对于软件的动态数据 缺乏分析能力，并且无法提取加密形式的隐藏信息。尤其是涉及到密码学算法的 应用，传统的分析方法难以处理加密数据的识别和还原。目前国内外软件分析的 技术研究集中在对于代码的反汇编和反编译方面，主要针对代码的结构识别、软 件运行流程和软件抽象重构造，而对于软件中包含数据的识别工作尚未有通用的 方法。

经对现有技术的文献检索发现，Mihai Christodorescu等在the 6th ACM SIGPLAN-SIGSOFT workshop on Program analysis for software tools and engineering(第六届ACM软件工具和工程程序分析会议)上发表的String Analysis for x86 Binaries(x86二进制代码的字符串分析)，文章中提出了一 种x86体系下可执行的二进制代码中字符串的提取和恢复方法，该方法是一种针 对二进制代码的静态分析技术，基于A.S.Chri stensen在the 10th International Static Analysis Symposium(第10届国际静态分析讨论学术交 流会)上发表的文章Precise analysis of string expressions(字符串表达 式的精确分析)中所用到的字符串流图(string flow graph)技术。该方法将 二进制代码进行了建模，使得其能够构造出字符串流图，在此基础之上得到字符 串信息的集合。该文中提出的方法基于静态代码分析，没有对运行期信息进行分 析，其不足之处在于静态分析不能完全获得程序运行时产生的所有数据信息，尤 其是经过加密变换存储的数据信息。

发明内容

本发明的目的是针对上述现有技术的不足，提出了一种Windows应用程序内 部固化数据的提取系统，本发明不依赖高级语言源代码，区分Windows应用程序 运行时产生的数据信息类型，从中提取属于应用程序本身固化的数据(包括明文 存储和加密变换存储)，准确高效地提取其原始状态和产生方法。

本发明是通过如下技术方案实现的，本发明包括：可执行文件类型信息识别 模块、可执行文件反保护模块、可执行文件代码分析模块、可执行文件调试与信 息提取模块、密码学分析模块，其中：

可执行文件类型信息识别模块对可执行文件的格式、开发语言种类、保护类 型进行识别，如果可执行文件受保护，选择可执行文件反保护模块，否则直接选 择可执行文件代码分析模块；