[发明专利]应用控制流模型

权利要求书

1.一种存储表示指令的代码的处理器可读介质，所述指令在处理器处被执行时使 所述处理器：

访问应用的源代码表示；

访问所述应用的机器代码表示；

基于所述应用的所述源代码表示生成所述应用的控制流模型；以及

将所述控制流模型的表示存储在包括所述应用的所述机器代码表示的文件中。

2.根据权利要求1所述的处理器可读介质，其中所述控制流模型包括对所述机器 代码表示的多个部分的引用。

3.根据权利要求1所述的处理器可读介质，进一步包括表示在所述处理器处被执 行时使所述处理器执行如下操作的指令的代码：

从所述应用的所述源代码表示生成所述应用的所述机器代码表示。

4.根据权利要求1所述的处理器可读介质，其中所述控制流模型基于所述应用的 所述源代码表示和所述应用的所述机器代码表示来生成。

5.根据权利要求1所述的处理器可读介质，进一步包括表示在所述处理器处被执 行时使所述处理器执行如下操作的指令的代码：

对所述控制流模型加密以定义所述控制流模型的表示。

6.一种应用监视方法，包括：

在包括应用的机器代码表示的文件内识别所述应用的控制流模型的表示；

解释所述控制流模型，以识别所述应用的所述机器代码表示的多个可监视片段； 以及

从所述多个可监视片段选择可监视片段用于所述应用的运行时监视。

7.根据权利要求6所述的方法，进一步包括：

确定所述控制流模型的表示被加密；以及

对所述控制流模型的表示进行解密。

8.根据权利要求6所述的方法，进一步包括：

将来自所述多个可监视片段的所述可监视片段装备在存储器内用于所述应用的运 行时监视。

9.根据权利要求6所述的方法，进一步包括：

将来自所述多个可监视片段的所述可监视片段装备在客户操作系统内用于控制流 完整性检查，所述客户操作系统经由实现影子堆栈的管理程序来托管。

10.根据权利要求6所述的方法，其中所述控制流模型是所述应用的控制流图。

11.一种应用监视系统，包括：

控制流模块，用于在包括应用的机器代码表示的文件内访问所述应用的控制流模 型的表示，并且用于解释所述控制流模型以识别所述应用的所述机器代码表示的多个 可监视片段；以及

监视器模块，用于基于所述应用的所述机器代码表示的所述多个可监视片段来启 动所述应用的运行时监视。

12.根据权利要求11所述的系统，其中所述控制流模型的表示在所述文件内被加 密，所述系统进一步包括：

密码模块，用于对所述控制流模型的表示进行解密。

13.根据权利要求11所述的系统，其中所述文件包括封装所述应用的所述机器代 码表示的二进制片段和封装所述控制流模型的表示的元数据片段。

14.根据权利要求11所述的系统，其中所述监视器模块将来自所述应用的所述机 器代码表示的所述多个可监视片段的可监视片段装备在存储器处，以启动所述应用的 运行时监视。

15.根据权利要求11所述的系统，其中所述控制流模型是所述应用的控制流图。