利用进程虚拟机反调试的方法、装置、系统及存储介质与流程

本发明实施例涉及计算机技术领域，尤其涉及一种利用进程虚拟机反调试的方法、装置、系统及存储介质。

背景技术：

现有技术中，反调试和反反调试一直都是开发人员比较头疼的事情。举例而言，攻击方会通过用ptrace()接口调试需要被保护地程序p以获得p运行时的敏感信息。而防守方则会利用同时只有一个进程启用ptrace()接口调试程序的特点，在程序p启动时就先启动一个进程a对自己进行调试，这样就可以让后来的攻击方无法使用ptrace()接口做调试。攻击方同样会采取其他措施，实现反调试。例如，找到进程a，将其“杀死”，然后攻击方进行调试p。防守方为了避免这种情况的发生，则进行升级。升级的方式有多种技术路线，其目的就是不让攻击方轻易的“杀死”进程a。典型的方案是：让进程a在调试p时，在某些关键逻辑改变p的行为。

举一个例子，p在软件启动时，校验注册码sn。

p中有函数：

boolchecksn(sn){

ifsn＝＝md5(sn){

returntrue；

}

returnfalse；

}

让a在调试p时截获函数checksn()，将形参sn的值修改为md5(sn)，这样软件运行时，checksn()函数就能正确返回true了。软件正常运行。

如果有攻击者杀死了a，那么checksn()中的if判断会不成立，返回false，软件不会继续往下运行。

所以，攻击者不能“杀死”a。而由于a在调试p，攻击者也无法调试p。

虽然，在上述过程中，攻方无法在checksn()函数运行结束之前杀死a。但却可以等待checksn()函数运行结束之后再“杀死”a。并在某个时刻获得调试p的能力。

上述案例的攻防过程中，会发现防守方存在很大的弊端，例如进程a需要保持隔段时间就对p中的某些逻辑作出修改，才能保证a不被杀死。但是，随着程序规模的逐渐扩大，想在p的所有逻辑中加入和a的互动，毫无疑问，其困难度将是非常巨大的，对于安全防护人员的技术能力、专业度的要求都将会非常高，成本也会大大增加。

技术实现要素：

鉴于此，为解决现有技术中反调试的措施存在随着程序规模的逐渐扩大，编写难度增加，对开发人员的技术能力、专业度等要求高，而且成本大大增加的技术问题，本发明实施例提供一种利用进程虚拟机反调试的方法、装置、系统及存储介质。

第一方面，本发明实施例提供一种利用进程虚拟机反调试的方法，该方法包括：

利用预建立的虚拟编码器将待保护程序编译至预建立的进程虚拟机，获取虚拟编码程序；

利用进程虚拟机中包含的保护进程对已经运行在进程虚拟机中的虚拟编码程序进行调试。

在一个可能的实施方式中，虚拟编码程序为存在预设定错误的编码程序，利用进程虚拟机中包含的保护进程对已经运行在进程虚拟机中的虚拟编码程序进行调试，具体包括：

利用保护进程对虚拟编码程序中的预设定错误进行修正。

在一个可能的实施方式中，利用预建立的虚拟编码器将待保护程序编译至预建立的进程虚拟机，获取虚拟编码程序之前，方法还包括：

接收待运行的程序；

识别待运行的程序的指令类型；

当确定待运行的程序的指令类型为预设指令类型时，确定待运行的程序为待保护程序。

在一个可能的实施方式中，当待运行的程序并非为待保护程序时，直接将待运行的程序输入至进程虚拟机进行运行。

在一个可能的实施方式中，预建立的进程虚拟机中包括多条基本指令；利用预建立的虚拟编码器将待保护程序编译至预建立的进程虚拟机，具体包括：

利用预建立的虚拟编码器，将待保护程序与多条基本指令中的一条或多条相结合进行编译，获取虚拟编码程序。

第二方面，本发明实施例提供一种利用进程虚拟机反调试的装置，该装置包括：

编码单元，用于利用预建立的虚拟编码器将待保护程序编译至预建立的进程虚拟机，获取虚拟编码程序；

处理单元，用于利用进程虚拟机中包含的保护进程对已经运行在进程虚拟机中的虚拟编码程序进行调试。

在一个可能的实施方式中，虚拟编码程序为存在预设定错误的编码程序，处理单元具体用于，利用保护进程对虚拟编码程序中的预设定错误进行修正。

在一个可能的实施方式中，装置还包括：接收单元；

接收单元，用于接收待运行的程序；

处理单元还用于，识别待运行的程序的指令类型；

当确定待运行的程序的指令类型为预设指令类型时，确定待运行的程序为待保护程序。

在一个可能的实施方式中，处理单元还用于，当确定待运行的程序并非为待保护程序时，直接将待运行的程序输入至进程虚拟机进行运行。

在一个可能的实施方式中，预建立的进程虚拟机中包括多条基本指令；编码单元具体用于：

利用预建立的虚拟编码器，将待保护程序与多条基本指令中的一条或多条相结合进行编译，获取虚拟编码程序。

第三方面，本发明实施例提供一种利用进程虚拟机反调试的系统，该系统包括：至少一个处理器和存储器；

处理器用于执行存储器中存储的利用进程虚拟机反调试的程序，以实现如第一方面任一实施方式所介绍的利用进程虚拟机反调试的方法。

第四方面，本发明实施例提供一种计算机存储介质，该计算机存储介质存储有一个或者多个程序，一个或者多个程序可被如第三方面所介绍的利用进程虚拟机反调试的系统执行，以实现如第一方面任一实施方式所介绍的利用进程虚拟机反调试的方法。

本发明实施例提供的一种利用进程虚拟机反调试的方法，将待保护的程序编译到进程虚拟机中，获取虚拟编码程序。然后利用进程虚拟机中包含的保护进程对进程虚拟机中的虚拟编码程序进行调试。通过该方法，并非如现有技术那样，只是对待保护程序进行调试，而是利用虚拟编码器将待保护程序编译至进程虚拟机中，并且在进程虚拟机中运行。而保护进程直接对虚拟编码程序整体进行调试。调试过程中可以防止攻击方调试待保护程序，因为一旦攻击方将虚拟编码程序“杀死”，则将导致程序运行停止，攻击方无法得逞。整个过程中都伴随着保护程序的调试，并不存在保护程序调整完成的间隙，这也让攻击方无懈可击。而且，通过该种方式，不需要保护进程隔段时间与待保护程序进行互动，减少互动环节，降低人力开发难度，对应开发人员的技术能力、专业度等要求不再增高，而技术成本也并未由此增加。

附图说明

图1为本发明实施例提供的一种利用进程虚拟机反调试的方法流程示意图；

图2为本发明实施例提供的另一种利用进程虚拟机反调试的方法流程示意图；

图3为本发明实施例提供的一种利用进程虚拟机反调试的装置结构示意图；

图4为本发明实施例提供一种利用进程虚拟机反调试的系统结构示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

为便于对本发明实施例的理解，下面将结合附图以具体实施例做进一步的解释说明，实施例并不构成对本发明实施例的限定。

图1为本发明实施例提供的一种利用进程虚拟机反调试的方法流程示意图，如图1所示，该方法包括：

步骤110，利用预建立的虚拟编码器将待保护程序编译至预建立的进程虚拟机，获取虚拟编码程序。

具体的，虚拟编码器实际就是按照现有的编码原理设计的一种虚拟编码器。但是其与实际的编码器不同的地方在于，实际的编码器设计的编码程序为正常运行的编码程序，并不存在任何人为故意设置的编码错误。

而本实施例中的虚拟编码器则包含了人为故意设置的编码错误。这种错误是固定模板错误，用以直接与待保护程序相结合进行编译，获取虚拟编码程序。

具体的将在下文中做详细描述。

步骤120，利用进程虚拟机中包含的保护进程对已经运行在进程虚拟机中的虚拟编码程序进行调试。

具体的，虚拟编码程序为存在预设定错误的编码程序。也即是如上文所介绍的，正因为虚拟编码器中存在预设定的人为设置的错误，因此获取的虚拟编码程序就是存在预设定错误的编码程序。而步骤120的具体执行过程就是利用保护进程对虚拟编码程序中的预设定错误进行修正。

进一步可选的，预建立的进程虚拟机中包括多条基本指令；例如加法、减法、乘法、除法、跳转等等多条基本指令。

那么，利用预建立的虚拟编码器将待保护程序编译至预建立的进程虚拟机，具体包括：

利用预建立的虚拟编码器，将待保护程序与多条基本指令中的一条或多条相结合进行编译，获取虚拟编码程序。

在一个具体的例子中，例如待保护程序为乘法指令x＝a*b。而经过虚拟编码器按照预设规则将待保护程序和进行虚拟机中的基本指令相结合进行编译后可以得到x＝a*b*100。

而这个虚拟编码程序就是一个错误的虚拟编码程序。需要在程序运行过程中，利用保护程序对虚拟编码程序整体进行调试。

在这个具体的例子中，保护进程可以是x＝x/100。通过这种方式，最终运行得到的输出结果实际上还是与x＝a*b输出结果相同。但是，整个调试过程中，攻击方都不能够进行反调试。

此外，本实例中是对虚拟编码程序整体进行调试，具体的编译和调试都是按照统一预设定的方式，例如对乘法程序指令进行某种调试，对除法程序指令进行某种调试都是按照设定的规则进行。调试内容并非针对某一种业务对应的程序代码，也就是并非是对待保护程序进行调试，那么，保护进程也无需因为待保护程序的变动而变动。大大减少了开发的保护进程数量。降低对于安全保护工作人员的专业度的要求，使其开发相对容易很多，同时也大大降低其工作量。对于企业而言，则大大降低了开发成本。

进一步可选的，在执行步骤110之前，该方法还包括：

步骤100，接收待运行的程序；

步骤101，识别待运行的程序的指令类型；

当确定待运行的程序的指令类型为预设指令类型时，确定待运行的程序为待保护程序。

也即是说，并非所有待运行程序都需要进入到保护机制中进行保护。即，并非所有待运行程序都需要执行步骤110-至步骤120的所有操作。实际上，执行这些操作也需要花费很多时间，对于工作效率来说，会降低工作效率。因此，为了提升工作效率，则需要对待运行程序进行识别。具体参见图2所示，在执行步骤110之前，识别其程序指令类型。如果是预设指令类型，例如是乘法指令类型、除法指令类型等，则认为其是待保护程序，需要执行步骤110至步骤120的所有操作过程。

进一步的，如果并非为待保护程序，还可以执行步骤102，直接将待运行的程序输入至进程虚拟机进行运行。由此提升工作效率，降低系统负载压力。

本发明实施例提供的利用进程虚拟机反调试的方法，将待保护的程序编译到进程虚拟机中，获取虚拟编码程序。然后利用进程虚拟机中包含的保护进程对进程虚拟机中的虚拟编码程序进行调试。通过该方法，并非如现有技术那样，只是对待保护程序进行调试，而是利用虚拟编码器将待保护程序编译至进程虚拟机中，并且在进程虚拟机中运行。而保护进程直接对虚拟编码程序整体进行调试。调试过程中可以防止攻击方调试待保护程序，因为一旦攻击方将虚拟编码程序“杀死”，则将导致程序运行停止，攻击方无法得逞。整个过程中都伴随着保护程序的调试，并不存在保护程序调整完成的间隙，这也让攻击方无懈可击。而且，通过该种方式，不需要保护进程隔段时间与待保护程序进行互动，减少互动环节，降低人力开发难度，对应开发人员的技术能力、专业度等要求不再增高，而技术成本也并未由此增加。

图3本发明实施例提供的一种利用进程虚拟机反调试的装置，该装置包括：编码单元301和处理单元302。

编码单元301，用于利用预建立的虚拟编码器将待保护程序编译至预建立的进程虚拟机，获取虚拟编码程序；

处理单元302，用于利用进程虚拟机中包含的保护进程对已经运行在进程虚拟机中的虚拟编码程序进行调试。

可选的，虚拟编码程序为存在预设定错误的编码程序，处理单元302具体用于，利用保护进程对虚拟编码程序中的预设定错误进行修正。

可选的，装置还包括：接收单元303；

接收单元303，用于接收待运行的程序；

处理单元302还用于，识别待运行的程序的指令类型；

当确定待运行的程序的指令类型为预设指令类型时，确定待运行的程序为待保护程序。

可选的，处理单元302还用于，当确定待运行的程序并非为待保护程序时，直接将待运行的程序输入至进程虚拟机进行运行。

可选的，预建立的进程虚拟机中包括多条基本指令；编码单元301具体用于：

利用预建立的虚拟编码器，将待保护程序与多条基本指令中的一条或多条相结合进行编译，获取虚拟编码程序。

本实施例提供的利用进程虚拟机反调试的装置中各功能部件所执行的功能均已在图1对应的实施例中做了详细介绍，因此这里不再赘述。

本发明实施例提供的一种利用进程虚拟机反调试的装置，将待保护的程序编译到进程虚拟机中，获取虚拟编码程序。然后利用进程虚拟机中包含的保护进程对进程虚拟机中的虚拟编码程序进行调试。本实施提供的装置，并非如现有技术那样，只是对待保护程序进行调试，而是利用虚拟编码器将待保护程序编译至进程虚拟机中，并且在进程虚拟机中运行。而保护进程直接对虚拟编码程序整体进行调试。调试过程中可以防止攻击方调试待保护程序，因为一旦攻击方将虚拟编码程序“杀死”，则将导致程序运行停止，攻击方无法得逞。整个过程中都伴随着保护程序的调试，并不存在保护程序调整完成的间隙，这也让攻击方无懈可击。而且，通过该种方式，不需要保护进程隔段时间与待保护程序进行互动，减少互动环节，降低人力开发难度，对应开发人员的技术能力、专业度等要求不再增高，而技术成本也并未由此增加。

图4为本发明实施例提供的一种利用进程虚拟机反调试的系统的结构示意图，图4所示的利用进程虚拟机反调试的系统400包括：至少一个处理器401、存储器402、至少一个网络接口403和其他用户接口404。利用进程虚拟机反调试的利用进程虚拟机反调试的系统400中的各个组件通过总线系统405耦合在一起。可理解，总线系统405用于实现这些组件之间的连接通信。总线系统405除包括数据总线之外，还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见，在图4中将各种总线都标为总线系统405。

其中，用户接口404可以包括显示器、键盘或者点击设备(例如，鼠标，轨迹球(trackball)、触感板或者触摸屏等。

可以理解，本发明实施例中的存储器402可以是易失性存储器或非易失性存储器，或可包括易失性和非易失性存储器两者。其中，非易失性存储器可以是只读存储器(read-onlymemory，rom)、可编程只读存储器(programmablerom，prom)、可擦除可编程只读存储器(erasableprom，eprom)、电可擦除可编程只读存储器(electricallyeprom，eeprom)或闪存。易失性存储器可以是随机存取存储器(randomaccessmemory，ram)，其用作外部高速缓存。通过示例性但不是限制性说明，许多形式的ram可用，例如静态随机存取存储器(staticram，sram)、动态随机存取存储器(dynamicram，dram)、同步动态随机存取存储器(synchronousdram，sdram)、双倍数据速率同步动态随机存取存储器(doubledataratesdram，ddrsdram)、增强型同步动态随机存取存储器(enhancedsdram，esdram)、同步连接动态随机存取存储器(synchlinkdram，sldram)和直接内存总线随机存取存储器(directrambusram，drram)。本文描述的存储器402旨在包括但不限于这些和任意其它适合类型的存储器。

在一些实施方式中，存储器402存储了如下的元素，可执行单元或者数据结构，或者他们的子集，或者他们的扩展集：操作系统4021和应用程序4022。

其中，操作系统4021，包含各种系统程序，例如框架层、核心库层、驱动层等，用于实现各种基础业务以及处理基于硬件的任务。应用程序4022，包含各种应用程序，例如媒体播放器(mediaplayer)、浏览器(browser)等，用于实现各种应用业务。实现本发明实施例方法的程序可以包含在应用程序4022中。

在本发明实施例中，通过调用存储器402存储的程序或指令，具体的，可以是应用程序4022中存储的程序或指令，处理器401用于执行各方法实施例所提供的方法步骤，例如包括：

利用预建立的虚拟编码器将待保护程序编译至预建立的进程虚拟机，获取虚拟编码程序；

利用进程虚拟机中包含的保护进程对已经运行在进程虚拟机中的虚拟编码程序进行调试。

可选的，利用保护进程对虚拟编码程序中的预设定错误进行修正。

可选的，接收待运行的程序；

识别待运行的程序的指令类型；

当确定待运行的程序的指令类型为预设指令类型时，确定待运行的程序为待保护程序。

可选的，当待运行的程序并非为待保护程序时，直接将待运行的程序输入至进程虚拟机进行运行。

可选的，利用预建立的虚拟编码器，将待保护程序与多条基本指令中的一条或多条相结合进行编译，获取虚拟编码程序。

上述本发明实施例揭示的方法可以应用于处理器401中，或者由处理器401实现。处理器401可能是一种集成电路芯片，具有信号的处理能力。在实现过程中，上述方法的各步骤可以通过处理器401中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器401可以是通用处理器、数字信号处理器(digitalsignalprocessor，dsp)、专用集成电路(applicationspecificintegratedcircuit，asic)、现成可编程门阵列(fieldprogrammablegatearray，fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成，或者用译码处理器中的硬件及软件单元组合执行完成。软件单元可以位于随机存储器，闪存、只读存储器，可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器402，处理器401读取存储器402中的信息，结合其硬件完成上述方法的步骤。

可以理解的是，本文描述的这些实施例可以用硬件、软件、固件、中间件、微码或其组合来实现。对于硬件实现，处理单元可以实现在一个或多个专用集成电路(applicationspecificintegratedcircuits，asic)、数字信号处理器(digitalsignalprocessing，dsp)、数字信号处理设备(dspdevice，dspd)、可编程逻辑设备(programmablelogicdevice，pld)、现场可编程门阵列(field-programmablegatearray，fpga)、通用处理器、控制器、微控制器、微处理器、用于执行本申请功能的其它电子单元或其组合中。

对于软件实现，可通过执行本文功能的单元来实现本文的技术。软件代码可存储在存储器中并通过处理器执行。存储器可以在处理器中或在处理器外部实现。

本实施例提供的利用进程虚拟机反调试的系统可以是如图4中所示的利用进程虚拟机反调试的系统，可执行如图1中利用进程虚拟机反调试的方法的所有步骤，进而实现图1所示利用进程虚拟机反调试的方法的技术效果，具体请参照图1相关描述，为简洁描述，在此不作赘述。

本发明实施例还提供了一种存储介质(计算机可读存储介质)。这里的存储介质存储有一个或者多个程序。其中，存储介质可以包括易失性存储器，例如随机存取存储器；存储器也可以包括非易失性存储器，例如只读存储器、快闪存储器、硬盘或固态硬盘；存储器还可以包括上述种类的存储器的组合。

当存储介质中一个或者多个程序可被一个或者多个处理器执行，以实现上述在利用进程虚拟机反调试的系统侧执行的利用进程虚拟机反调试的方法。

处理器用于执行存储器中存储的利用进程虚拟机反调试的程序，以实现以下在利用进程虚拟机反调试的系统侧执行的利用进程虚拟机反调试的方法的步骤：

利用预建立的虚拟编码器将待保护程序编译至预建立的进程虚拟机，获取虚拟编码程序；

利用进程虚拟机中包含的保护进程对已经运行在进程虚拟机中的虚拟编码程序进行调试。

可选的，利用保护进程对虚拟编码程序中的预设定错误进行修正。

可选的，接收待运行的程序；

识别待运行的程序的指令类型；

当确定待运行的程序的指令类型为预设指令类型时，确定待运行的程序为待保护程序。

可选的，当待运行的程序并非为待保护程序时，直接将待运行的程序输入至进程虚拟机进行运行。

可选的，利用预建立的虚拟编码器，将待保护程序与多条基本指令中的一条或多条相结合进行编译，获取虚拟编码程序。

专业人员应该还可以进一步意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。

结合本文中所公开的实施例描述的方法或算法的步骤可以用硬件、处理器执行的软件模块，或者二者的结合来实施。软件模块可以置于随机存储器(ram)、内存、只读存储器(rom)、电可编程rom、电可擦除可编程rom、寄存器、硬盘、可移动磁盘、cd-rom、或技术领域内所公知的任意其它形式的存储介质中。

以上的具体实施方式，对本发明的目的、技术方案和有益效果进行了进一步详细说明，所应理解的是，以上仅为本发明的具体实施方式而已，并不用于限定本发明的保护范围，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。