一种标签函数的处理方法及装置与流程

本发明涉及计算机安全领域，尤其是一种标签函数的处理方法及装置。

背景技术：

在软件安全保护中，软件开发人员在软件开发的过程中，通常将需要保护的函数定义一个统一的标签，将标签添加到需要保护的函数中。软件开发人员通过导入动态库在程序中找到标签，然后对添加过标签的函数进行保护，完成后需要将标签函数进行删除。

然而，现有技术在对标签函数进行删除时，如果删除的不彻底，当程序运行到标签函数对应的位置时，程序会运行崩溃；另外，如果仅仅对标签函数简单的设置为nop指令，会给软件破解者留下找到关键代码的痕迹，从而无法保证软件的安全性。

技术实现要素：

鉴于上述问题，提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的一种标签函数的处理方法及装置，用以解决现有技术中标签函数删除不彻底的问题。

本发明实施例的一方面，本发明提供了一种函数标签的处理方法，包括：

获取导入表中的标签函数信息，所述标签函数信息包括标签函数名称以及标签函数在内存中的地址；

根据所述标签函数信息创建重定位函数块；

当程序执行到所述标签函数时，将所述标签函数重定位至所述重定位函数块。

进一步地，所述获取导入表中的标签函数信息包括：

解析PE文件，获取导入表的位置；

根据所述导入表的位置获取所述导入表中的标签函数信息。

进一步地，所述根据所述标签函数信息创建重定位函数块包括：

在所述重定位函数块中添加相对虚拟地址，所述重定位函数块的相对虚拟地址为所述标签函数信息中标签函数在内存中的地址；

根据所述相对虚拟地址在所述重定位函数块中添加重定位信息。

进一步地，所述根据所述相对虚拟地址在所述重定位函数块中添加重定位信息包括：

根据所述相对虚拟地址获取所述标签函数的标签开始代码和标签结束代码；

根据所述标签开始代码和标签结束代码在所述重定位函数块中分别添加替代开始函数块和替代结束函数块。

进一步地，所述重定位函数块包括替代开始函数块和替代结束函数块，所述当程序执行到所述标签函数时，将所述标签函数信息重定位至所述重定位函数块包括：

当程序执行到所述标签函数的标签开始代码时，将所述标签函数重定位至所述重定位函数块中的替代开始函数块；

当程序执行到所述标签函数的标签结束代码时，将所述标签函数重定位至所述重定位函数块中的替代结束函数块。

进一步地，所述方法还包括：

删除所述导入表中的标签函数信息。

依据本发明实施例的另一方面，本发明实施例提供了一种标签函数的处理装置，包括：

获取单元，用于获取导入表中的标签函数信息，所述标签函数信息包括标签函数名称以及标签函数在内存中的地址；

创建单元，用于根据所述标签函数信息创建重定位函数块；

重定位单元，用于当程序执行到所述标签函数时，将所述标签函数重定位至所述重定位函数块。

进一步地，所述获取单元包括：

解析模块，用于解析PE文件，获取导入表的位置；

获取模块，用于根据所述导入表的位置获取所述导入表中的标签函数信息。

进一步地，所述创建单元包括：

第一添加模块，用于在所述重定位函数块中添加相对虚拟地址，所述重定位函数块的相对虚拟地址为所述标签函数信息中标签函数在内存中的地址；

第二添加模块，用于根据所述相对虚拟地址在所述重定位函数块中添加重定位信息。

进一步地，所述第二添加模块，具体用于根据所述相对虚拟地址获取所述标签函数的标签开始代码和标签结束代码；

所述第二添加模块，具体还用于根据所述标签开始代码和标签结束代码在所述重定位函数块中分别添加替代开始函数块和替代结束函数块。

进一步地，所述重定位函数块包括替代开始函数块和替代结束函数块，所述重定位单元包括：

第一重定位模块，用于当程序执行到所述标签函数的标签开始代码时，将所述标签函数重定位至所述重定位函数块中的替代开始函数块；

第二重定位模块，用于当程序执行到所述标签函数的标签结束代码时，将所述标签函数重定位至所述重定位函数块中的替代结束函数块。

进一步地，所述装置还包括：

删除单元，用于删除所述导入表中的标签函数信息。

借由上述技术方案，本发明提供的一种标签函数的处理方法及装置，首先获取导入表的标签函数信息，这里的标签函数信息包括标签函数名称以及标签函数在内存中的地址，然后根据标签函数信息创建重定位函数块，当程序执行到标签函数时，将标签函数重定位至重定位函数模块，从而将标签函数彻底的删除，与现有技术中对标签函数设置nop指令方式的标签函数的处理方法相比，本发明实施例根据标签函数信息创建重定位函数块，在重定位函数块中添加重定位信息，以使得当程序执行到标签函数时，能够重定位至重定位函数模块，进而执行重定位函数模块中的代码，将标签函数彻底删除，保证了程序运行过程中的核心函数的安全性。

上述说明仅是本发明技术方案的概述，为了能够更清楚了解本发明的技术手段，而可依照说明书的内容予以实施，并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂，以下特举本发明的具体实施方式。

附图说明

通过阅读下文优选实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本发明的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中：

图1示出了本发明实施例提供的一种标签函数的处理方法流程示意图；

图2示出了本发明实施例提供的另一种标签函数的处理方法流程示意图；

图3示出了本发明实施例提供的一种标签函数的处理装置结构示意图；

图4示出了本发明实施例提供的另一种标签函数的处理装置结构示意图。

具体实施方式

下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例，然而应当理解，可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本公开，并且能够将本公开的范围完整的传达给本领域的技术人员。

本发明实施例提供了一种标签函数的处理方法，如图1所示，该方法主要用于处理程序执行过程中的标签函数，具体步骤包括：

101、获取导入表中的标签函数信息。

其中，导入表中保存了包括但不限制于标签函数的名称和标签函数在内存中的地址IAT等连接动态链接库所必须的信息。这里的标签函数为添加过标签的导入函数，为导入函数当中比较核心的函数，标签函数在内存中的地址为标签函数实际所处的地址，只有当PE文件被装入内存的时候，Windows装载器才将动态链接库装入，并将调用标签函数的指令以及标签函数实际所处的地址联系起来。

需要说明的是，为了更好的对核心函数进行保护，本发明实施例重点对导入函数当中添加过标签的标签函数进行处理，从而保证了在程序运行过程中的安全性。

本发明实施例中的导入表实际是一个image_import_descriptor结构数组，每个结构包含PE文件导入函数的一个相关动态链接库DLL，举例来说，如果该PE文件从10个不同的动态链接库DLL中引入函数，那么这个数组就有10个成员。

102、根据所述标签函数信息创建重定位函数块。

其中，重定位函数块的相对虚拟地址RVA为标签函数信息中标签函数在内存中的地址，每个RVA指向一个字符串，指向导入模块的名字，进而根据重定位函数块的RVA能够获取到导入函数的位置。

进一步地，在重定位函数块的相对虚拟地址RVA中添加重定位信息，在加载到内存后，就只需要根据重定位信息中的相对虚拟地址RVA将调用导入函数重定位至替代的函数块。

需要说明的是，为了保证在程序执行后导入函数的标签能够被彻底删除，本发明实施例通过创建重定位函数块，通过重定位函数块中添加RVA，并且通过向RVA添加重定位信息作为替代函数块，当程序执行到标签函数的时候，无需执行标签函数，从而保证核心函数的安全性。

103、当程序执行到所述标签函数时，将所述标签函数重定位至所述重定位函数块。

对于本发明实施例，当程序执行到标签函数时，也就是当程序调用动态链接库中的导入函数时，由于在执行函数代码开始的位置会有个开始函数标志，进而将开始函数标志重定位至替代开始函数块，同样地，在执行函数代码结束的位置会有个结束函数标志，进而将结束函数标志重定位至替代结束函数块，实现标签函数的重定位。

结合上述的实现方式可以看出，本发明实施例提供的一种标签函数的处理方法，首先获取导入表的标签函数信息，这里的标签函数信息包括标签函数名称以及标签函数在内存中的地址，然后根据标签函数信息创建重定位函数块，当程序执行到标签函数时，将标签函数重定位至重定位函数模块，从而将标签函数彻底的删除，与现有技术中对标签函数设置nop指令方式的标签函数的处理方法相比，本发明实施例根据标签函数信息创建重定位函数块，在重定位函数块中添加重定位信息，以使得当程序执行到标签函数时，能够重定位至重定位函数模块，进而执行重定位函数模块中的代码，将标签函数彻底删除，保证了程序运行过程中的核心函数的安全性。

以下为了更加详细地说明本发明提出的一种标签函数的处理方法，特别是在根据标签函数信息创建重定位函数块的步骤，本发明实施例还提供了另一种标签函数的处理方法，如图2所示，该方法的具体步骤包括：

201、解析PE文件，获取导入表的位置。

其中，PE文件为可移植的可执行文件，常见的EXE、DLL、OCX等都是PE文件，PE文件是微软Windows操作系统上的程序文件，对于磁盘上的PE文件来说，它无法得知导入函数在内存中的地址，只有当PE文件被装入内存后，Windows加载器才将相关动态链接库DLL装入，并将调用导入函数的指令和函数实际所处的地址联系起来，这就需要导入表存储的函数名以及其驻留的DLL名来实现动态链接的过程。

上述导入函数是被程序调用但其执行代码又不在程序中的函数，这些函数的代码位于一个或者多个动态链接库DLL中，在调用者程序中只保留一些函数信息，包括函数名及驻留的DLL名。

具体地，本发明实施例中获取导入表位置可以但不局限于通过PE文件头的数据目录获取导入表位置，具体可以从PE文件头数据目录字段中的IMAGE_OPTIONAL_HEADER32结构获取，当然还可以通过其他方式获取，本发明实施例对获取导入表位置的方式不进行限定。需要说明的是，上述获取过程，从IMAGE_OPTIONAL_DIRECTORY结构的VritualAddress字段得到的是导入表的RVA值，如果在内存中查找导入表，那么将RVA值加上PE文件装入的基址就是实际的地址，如果在PE文件中查找导入表，那么需要使用将RVA转换成文件偏移的方式进行转换。

202、根据所述导入表的位置获取所述导入表中的标签函数信息。

由于导入表是有一系列的IMAGE_IMPORT_DESCRIPTIOR结构组成，结构的数量取决于程序要使用的动态链接库DLL的数量，每一个结构对应一个动态链接库DLL文件，在PE文件加载时，会根据导入表中的内容加载依赖的动态链接库。

其中，导入表中保存了包括但不限制于标签函数的名称和标签函数在内存中的地址IAT等连接动态链接库所必须的信息。这里的标签函数为添加过标签的导入函数，为导入函数当中比较核心的函数，标签函数在内存中的地址为标签函数实际所处的地址，只有当PE文件被装入内存的时候，Windows装载器才将动态链接库装入，并将调用标签函数的指令以及标签函数实际所处的地址联系起来。

203、在所述重定位函数块中添加相对虚拟地址。

需要说明的是，这里在重定位函数块中添加的相对虚拟地址RVA与标签函数信息中标签函数在内存中的地址IAT相同，目的是为了在执行PE程序的过程中根据相对虚拟地址RVA将导入函数重定位至重定位函数块，这里的重定位函数块起到替代的作用，使得具有标签的导入函数能够被彻底删除，从而保证标签函数的安全性。

这里的相对虚拟地址RVA值在PE格式中是一个相对地址，当PE文件加载过程中，通过RVA值能够获取动态链接库名以及导入函数地址，但该地址并非真正的导入函数地址。

204、根据所述相对虚拟地址在所述重定位函数块中添加重定位信息。

其中，重定位函数块中添加的重定位信息主要包括两部替代函数块，一是替代开始函数块，另一是替代结束函数块，进一步通过相对虚拟地址RVA分别对应的标签函数在内存中的地址，能够获取到标签函数的标签开始代码和标签函数的标签结束代码的位置，从而在重定位函数块中添加重定位信息。

对于本发明实施例，通过将标签函数重定位至另一个函数块，与通过导入表引入另一个动态链接库DLL中的某个导入函数是不同。对于导入函数引入的某个模块或者函数不存在的化，加载时就会报错，而重定位函数块只要不被其他模块引用是不会被解析的，哪怕是重定位到一个根本不存在的动态链接库DLL中个或者指向某个根本不存在的函数，也不会影响当前模块的正常加载，从而保证了程序加载过程中不会出现加载出错的情况。

205、当程序执行到所述标签函数的标签开始代码时，将所述标签函数重定位至所述重定位函数块中的替代开始函数块。

举例来说，对于本发明实施例的标签开始代码为“ProtectBegin”，重定位函数块中的替代开始函数块为“shellret[1]”，当程序执行到“ProtectBegin”代码时，将标签函数重定位至替代开始函数块“shellret[1]”。

206、当程序执行到所述标签函数的标签结束代码时，将所述标签函数重定位至所述重定位函数块中的替代结束函数块。

举例来说，对于本发明实施例的标签结束代码为“ProtectEnd”，重定位函数块中的替代结束函数块为“shellret[0]”，当程序执行到“ProtectEnd”代码时，将标签函数重定位至替代开始函数块“shellret[0]”。

207、删除所述导入表中的标签函数信息。

需要说明的是，当程序执行到标签函数时，已经将导入表中的标签函数重定位至用于替代的重定位函数块了，导入表中的导入函数已经得到保护了，进一步删除导入表中的标签函数信息，从而更好的对核心函数进行保护。另外，在删除导入表中的标签函数信息之后，进一步将代码经过编译器编译成目标代码，链接成可执行文件，进而可以直接通过加载器加载到内存中充当金城执行的文件。

本发明实施例的具体步骤可以包括但不限制于下述实现方式：首先解析PE文件结构，通过PE文件头的目录字段获取导入表位置，从而获取导入表中标签函数的名称和标签函数在内存中的地址IAT等连接动态链接库所必须的信息，然后创建重定位函数块，在重定位函数块中添加相对虚拟地址RVA，这里在重定位函数块中添加的相对虚拟地址RVA与标签函数信息中标签函数在内存中的地址IAT相同，当PE文件加载过程中，通过相对虚拟地址RVA值能够获取动态链接库名以及导入函数地址，进一步根据相对虚拟地址在重定位函数块中添加重定位信息，具体包括两部分，一是替代开始函数块“shellret[1]”，另一是替代结束函数块“shellret[0]”，当程序执行到标签函数的标签开始代码“ProtectBegin”时，将标签函数重定位至重定位函数块中的替代开始函数块“shellret[1]”，当程序执行到标签函数的标签结束代码“ProtectEnd”时，将标签函数重定位至重定位函数块中的替代结束函数块“shellret[0]”，最后删除导入表中的标签函数信息，进一步将代码经过编译器编译成目标代码，链接成可执行文件。

随着计算机领域对软件安全保护意识的增强，为了进一步保证标签函数能够被彻底删除，从而不留下安全隐患，本发明实施例通过添加重定位函数块作为替代标签函数的标签，从而当程序运行到标签函数的标签时，对于标记有标签的核心函数不会给任何软件破解者发现关键代码的痕迹。

本发明实施例提供的另一种标签函数的处理方法，通过在程序执行到标签函数时，分别在标签函数的标签开始代码以及标签结束代码设置重定位函数块，将标签函数重定位至替代开始函数块以及替代结束函数块，使得标签能够被彻底删除，避免了程序执行到标签的位置时程序崩溃的现象。

进一步地，作为图1所示方法的具体实现，本发明实施例提供一种标签函数的处理装置，该装置实施例与前述方法实施例对应，为便于阅读，本装置不在对前述方法实施例中的细节内容进行逐一赘述，但应当明确，本实施例中的装置能够对应实现前述方法实施例中的全部内容，如图3所示，所述装置包括：

获取单元31，可以用于获取导入表中的标签函数信息，所述标签函数信息包括标签函数名称以及标签函数在内存中的地址；

创建单元32，可以用于根据所述标签函数信息创建重定位函数块；

重定位单元33，可以用于当程序执行到所述标签函数时，将所述标签函数重定位至所述重定位函数块。

本发明实施例提供的一种标签函数的处理装置，首先获取导入表的标签函数信息，这里的标签函数信息包括标签函数名称以及标签函数在内存中的地址，然后根据标签函数信息创建重定位函数块，当程序执行到标签函数时，将标签函数重定位至重定位函数模块，从而将标签函数彻底的删除，与现有技术中对标签函数设置nop指令方式的标签函数的处理方法相比，本发明实施例根据标签函数信息创建重定位函数块，在重定位函数块中添加重定位信息，以使得当程序执行到标签函数时，能够重定位至重定位函数模块，进而执行重定位函数模块中的代码，将标签函数彻底删除，保证了程序运行过程中的核心函数的安全性。

进一步地，作为图2所示方法的具体实现，本发明实施例提供了另一种标签函数的处理装置，该装置实施例与前述方法实施例对应，为便于阅读，本装置不在对前述方法实施例中的细节内容进行逐一赘述，但应当明确，本实施例中的装置能够对应实现前述方法实施例中的全部内容，如图4所示，所述装置包括：

获取单元41，可以用于获取导入表中的标签函数信息，所述标签函数信息包括标签函数名称以及标签函数在内存中的地址；

创建单元42，可以用于根据所述标签函数信息创建重定位函数块；

重定位单元43，可以用于当程序执行到所述标签函数时，将所述标签函数重定位至所述重定位函数块；

删除单元44，可以用于删除所述导入表中的标签函数信息。

进一步地，所述获取单元41包括：

解析模块411，可以用于解析PE文件，获取导入表的位置；

获取模块412，可以用于根据所述导入表的位置获取所述导入表中的标签函数信息。

进一步地，所述创建单元42包括：

第一添加模块421，可以用于在所述重定位函数块中添加相对虚拟地址，所述重定位函数块的相对虚拟地址为所述标签函数信息中标签函数在内存中的地址；

第二添加模块422，可以用于根据所述相对虚拟地址在所述重定位函数块中添加重定位信息。

进一步地，所述第二添加模块422，具体可以用于根据所述相对虚拟地址获取所述标签函数的标签开始代码和标签结束代码；

所述第二添加模块422，具体还可以用于根据所述标签开始代码和标签结束代码在所述重定位函数块中分别添加替代开始函数块和替代结束函数块。

进一步地，所述重定位函数块包括替代开始函数块和替代结束函数块，所述重定位单元43包括：

第一重定位模块431，可以用于当程序执行到所述标签函数的标签开始代码时，将所述标签函数重定位至所述重定位函数块中的替代开始函数块；

第二重定位模块432，可以用于当程序执行到所述标签函数的标签结束代码时，将所述标签函数重定位至所述重定位函数块中的替代结束函数块。

本发明实施例提供的另一种标签函数的处理装置，通过在程序执行到标签函数时，分别在标签函数的标签开始代码以及标签结束代码设置重定位函数块，将标签函数重定位至替代开始函数块以及替代结束函数块，使得标签能够被彻底删除，避免了程序执行到标签的位置时程序崩溃的现象。

所述标签函数的处理装置包括处理器和存储器，上述获取单元31、创建单元32和重定位单元33等均作为程序单元存储在存储器中，由处理器执行存储在存储器中的上述程序单元来实现相应的功能。

处理器中包含内核，由内核去存储器中调取相应的程序单元。内核可以设置一个或以上，通过调整内核参数来节省人力，能够解决现有技术中标签函数删除不彻底的问题。

存储器可能包括计算机可读介质中的非永久性存储器，随机存取存储器(RAM)和/或非易失性内存等形式，如只读存储器(ROM)或闪存(flashRAM)，存储器包括至少一个存储芯片。

本申请还提供了一种计算机程序产品，当在数据处理设备上执行时，适于执行初始化有如下方法步骤的程序代码：获取导入表中的标签函数信息，所述标签函数信息包括标签函数名称以及标签函数在内存中的地址，根据所述标签函数信息创建重定位函数块，当程序执行到所述标签函数时，将所述标签函数重定位至所述重定位函数块。

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

在一个典型的配置中，计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。

存储器可能包括计算机可读介质中的非永久性存储器，随机存取存储器(RAM)和/或非易失性内存等形式，如只读存储器(ROM)或闪存(flashRAM)。存储器是计算机可读介质的示例。

计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带，磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括暂存电脑可读媒体(transitory media)，如调制的数据信号和载波。

以上仅为本申请的实施例而已，并不用于限制本申请。对于本领域技术人员来说，本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本申请的权利要求范围之内。