[发明专利]指令重组方法及装置

说明书

技术领域

本发明涉及计算机安全领域，尤其涉及一种指令重组方法及装置。

背景技术

现有的电子信息安全领域包括系统安全、数据安全和设备安全三个子领域。

在数据安全领域内，一般采用下面三种技术确保数据安全：(1)数据内容安全技术，包括数据加密解密技术和端到端数据加密技术，保障数据在存储和传输过程中内容不被非法读取；(2)数据安全转移技术，包括防止非法拷贝、打印或其它输出，保障数据在使用和转移过程中的安全；(3)网络阻断技术，包括网络物理阻断和设置网络屏障等技术。

根据相关分析，目前针对计算机的所有危害总有效侦测能力最多在50％左右；由于上述技术在应对计算机内核病毒、木马、操作系统漏洞、系统后门以及人为泄密时能力不足，事实上任何计算设备(例如计算机、手持通信设备等)都可能存在恶意代码。一旦恶意代码进入终端系统，上述的加密技术、防拷贝技术以及网络阻断技术在这种情况下将失去作用。现有的黑客技术可以利用系统漏洞或系统后门穿透上述安全技术并植入恶意代码，并利用恶意代码取得用户数据。上述技术更无法防范涉密人员的主动或被动泄密，例如，内部人员可以携带存储设备，从内部网络或终端上下载所需的资料并带走存储设备，导致内部泄密；又例如，内部人员可以直接将计算设备带走。

综上，防拷贝技术无法保证涉密信息在终端不被非法存储。基于网络过滤无法确保涉密信息不丢失。涉密人员可通过恶意代码或恶意工具造成泄密，还可能因涉密设备或存储介质失控造成泄密。

发明内容

本发明提供一种指令重组方法及装置，实现运行时指令的捕获和重组。

根据本发明一个方面，提供一种运行时指令重组方法，包括：

步骤1、缓存指令运行环境；获取栈中保存的跳转指令的地址和参数，计算下一条即将运行的指令地址，该地址为第零地址；将第一地址设置为第零地址；

步骤2、利用第一地址来查找地址对应表，如果找到记录，恢复所缓存的指令运行环境，并跳转到找到的对应地址继续执行，完成本次指令重组；

步骤3、如果没有找到记录，从第一地址开始获取待执行的机器指令片段，指令片段的结尾为跳转指令，跳转指令所在地址为第三地址；

步骤4、从第一地址开始，将机器码进行反汇编，并将反汇编结果通过一个词法分析器进行处理，生成重组后的汇编代码，直到第三地址为止；

步骤5、判断第三地址处的跳转指令的目标代码是否可以进一步处理，如果可以，将第一地址设置为第三地址或第三地址的跳转指令的目标地址，重新开始执行步骤3；

步骤6、如果不可以，在生成的重组后的汇编代码最后，加入压栈指令记录当前第三地址的值和操作数，并在压栈指令之后加入跳转至重组平台开始的指令；

步骤7、将生成的重组后的汇编代码通过汇编器生成对应的机器码，并存储于重组地址空间中分配出的地址，该地址为第二地址；将第二地址和第零地址以对应地址对的形式存储于地址对应表中；和

步骤8、恢复环境，并跳转到第二地址继续执行。

可选的，在步骤6之前，还包括：

解析所述待调度机器指令片段，利用指令集匹配所述机器指令片段，得到待处理的目标机器指令；

按照预定的方式，修改所述目标机器指令。

可选的，所述目标指令为存储/读取指令；

按照预定的方式，修改所述目标机器指令包括：修改其中的存储和读取地址为安全存储设备上的地址。

可选的，所述目标指令为I/O指令；

按照预定的方式，修改所述目标机器指令包括：将所述I/O指令中的输入指令全部阻止。

可选的，所述目标指令为网络传输指令；

按照预定的方式，修改所述目标机器指令包括：检验所述网络传输指令中的目标地址对应的远端计算设备是否为安全地址(即允许访问地址)；如果不是，阻止所述网络传输指令。

根据本发明另一个方面，提供一种计算机可读介质，所述可读介质中存储有计算机可执行的程序代码，所述程序代码用于执行上述方法的步骤。

本发明提供的方法和装置可以实现运行时指令的捕获和重组，并且，在获取到待调度指令片段后，还可以对其中的机器指令进行分析以及处理，从而不仅可以实现运行时指令捕获、重组，还可以实现对预定的目标指令的管理。

附图说明

图1是现有技术中计算设备的系统层次示意图；

图2是本发明一个实施例中提供的运行时指令重组方法的流程图；

图3是本发明一个实施例中提供的重组指令片段的生成过程示意图；