隐藏指令识别方法及装置

本申请涉及计算机，具体涉及一种隐藏指令识别方法及装置。

背景技术：

1、计算机系统的安全性依赖于操作系统等软件和处理器硬件，保持处理器功能的可信性是保证计算机系统安全的基础。指令系统是计算机软件和硬件交互的接口，其设计和发展要遵循兼容性、通用性、高效性和安全性。现有的与指令集相关的研究工作主要聚焦在对处理器中实现的合法指令功能的正确性进行验证，对于隐藏在预留指令空间中的隐藏指令，相关的研究工作较少。然而，隐藏指令的存在影响到了指令集的完整性，处理器中存在的隐藏指令能够绕过恶意代码检测工具的检查，这些隐藏指令如果被攻击者利用，例如使用二进制重写的方法将二进制形式的指令注入到被攻击的程序中，则会影响程序的正常行为，从而给计算机系统带来潜在的安全威胁。

2、传统的隐藏指令识别方法，大多基于暴力测试，即直接遍历的方式对指令集中的所有指令进行隐藏指令识别，但指令集中的隐藏指令占比较小，该方法会遍历到大量的合法指令，导致隐藏指令的识别效率较低。

技术实现思路

1、本申请实施例提供一种隐藏指令识别方法及装置，用以解决传统的隐藏指令识别方法基于直接遍历的方式对指令集中的所有指令进行隐藏指令识别，导致隐藏指令的识别效率较低的技术问题。

2、第一方面，本申请实施例提供一种隐藏指令识别方法，包括：

3、采用遍历的方式生成处理器的待测指令；

4、根据反汇编器对所述待测指令的支持情况，确定预留指令的目标判定方案；

5、利用所述目标判定方案，判定所述待测指令是否为预留指令；

6、若所述待测指令是预留指令，则对所述预留指令进行测试，以识别所述预留指令是否为隐藏指令。

7、在一个实施例中，所述根据反汇编器对所述待测指令的支持情况，确定预留指令的目标判定方案，包括：

8、若反汇编器支持所述待测指令，则将反汇编器判定方案确定为目标判定方案；

9、若反汇编器不支持所述待测指令，则将指令库文件判定方案确定为目标判定方案。

10、在一个实施例中，所述利用所述目标判定方案，判定所述待测指令是否为预留指令，包括：

11、利用所述反汇编器对所述待测指令进行反汇编识别，若所述待测指令未被所述反汇编器识别为合法指令，则判定所述待测指令为预留指令。

12、在一个实施例中，所述利用所述目标判定方案，判定所述待测指令是否为预留指令，包括：

13、将所述待测指令与同一处理器的指令库文件中的指令进行对比，若所述指令库文件中不存在所述待测指令，则判定所述待测指令为预留指令。

14、在一个实施例中，所述对所述预留指令进行测试，以识别所述预留指令是否为隐藏指令，包括：

15、在用户模式下对所述预留指令进行译码和执行；

16、若所述预留指令能够被执行且未报非法指令异常，则确定所述预留指令为隐藏指令。

17、在一个实施例中，所述若所述待测指令是预留指令之后，包括：

18、将所述预留指令注入预设内存中。

19、在一个实施例中，所述确定所述预留指令为隐藏指令之后，包括：

20、将所述隐藏指令写入日志文件中；

21、根据指令操作码类型对所述日志文件中的多个隐藏指令进行分类，得到多个隐藏指令类别组；

22、对每个隐藏指令类别组中的隐藏指令进行测试，确定每类隐藏指令的功能。

23、第二方面，本申请实施例提供一种隐藏指令识别装置，包括：

24、待测指令生成模块，用于：采用遍历的方式生成处理器的待测指令；

25、判定方案确定模块，用于：根据反汇编器对所述待测指令的支持情况，确定预留指令的目标判定方案；

26、预留指令判定模块，用于：利用所述目标判定方案，判定所述待测指令是否为预留指令；

27、隐藏指令识别模块，用于：若所述待测指令是预留指令，则对所述预留指令进行测试，以识别所述预留指令是否为隐藏指令。

28、第三方面，本申请实施例提供一种电子设备，包括处理器和存储有计算机程序的存储器，所述处理器执行所述程序时实现第一方面所述的隐藏指令识别方法的步骤。

29、第四方面，本申请实施例提供一种计算机程序产品，包括计算机程序，所述计算机程序被处理器执行时实现第一方面所述的隐藏指令识别方法的步骤。

30、本申请提供的隐藏指令识别方法及装置，采用遍历的方式生成处理器的待测指令，根据反汇编器对待测指令的支持情况，确定预留指令的目标判定方案，利用目标判定方案，判定待测指令是否为预留指令，若待测指令是预留指令，则对预留指令进行测试，以识别预留指令是否为隐藏指令。由于预先判定待测指令是否预留指令，针对预留指令才进行隐藏指令的识别，因此，能够大大缩小隐藏指令识别的范围，提高隐藏指令识别的效率。

技术特征：

1.一种隐藏指令识别方法，其特征在于，包括：

2.根据权利要求1所述的隐藏指令识别方法，其特征在于，所述根据反汇编器对所述待测指令的支持情况，确定预留指令的目标判定方案，包括：

3.根据权利要求2所述的隐藏指令识别方法，其特征在于，所述利用所述目标判定方案，判定所述待测指令是否为预留指令，包括：

4.根据权利要求2所述的隐藏指令识别方法，其特征在于，所述利用所述目标判定方案，判定所述待测指令是否为预留指令，包括：

5.根据权利要求1所述的隐藏指令识别方法，其特征在于，所述对所述预留指令进行测试，以识别所述预留指令是否为隐藏指令，包括：

6.根据权利要求1所述的隐藏指令识别方法，其特征在于，所述若所述待测指令是预留指令之后，包括：

7.根据权利要求5所述的隐藏指令识别方法，其特征在于，所述确定所述预留指令为隐藏指令之后，包括：

8.一种隐藏指令识别装置，其特征在于，包括：

9.一种电子设备，包括处理器和存储有计算机程序的存储器，其特征在于，所述处理器执行所述计算机程序时实现权利要求1至7任一项所述的隐藏指令识别方法的步骤。

10.一种计算机程序产品，包括计算机程序，其特征在于，所述计算机程序被处理器执行时实现权利要求1至7任一项所述的隐藏指令识别方法的步骤。

技术总结
本申请涉及计算机技术领域，提供一种隐藏指令识别方法及装置。所述方法包括：采用遍历的方式生成处理器的待测指令；根据反汇编器对所述待测指令的支持情况，确定预留指令的目标判定方案；利用所述目标判定方案，判定所述待测指令是否为预留指令；若所述待测指令是预留指令，则对所述预留指令进行测试，以识别所述预留指令是否为隐藏指令。本申请提供的隐藏指令识别方法及装置可以预先判定待测指令是否预留指令，针对预留指令才进行隐藏指令的识别，大大缩小隐藏指令识别的范围，提高隐藏指令识别的效率。

技术研发人员：孟丹,朱子元,王光
受保护的技术使用者：中国科学院信息工程研究所
技术研发日：
技术公布日：2024/4/29