專利名稱:可執(zhí)行文件安全加載的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及計(jì)算機(jī)程序系統(tǒng)�����,特別涉及一種應(yīng)用于windows系統(tǒng)的可執(zhí)行文件安全加載的方法���。
背景技術(shù):
由于Windows系統(tǒng)的可執(zhí)行文件加載方式問題���,造成目前windows的可執(zhí)行文件加載過程出現(xiàn)了如下問題I.由于可執(zhí)行文件加載過程中,windows未對(duì)文件的安全性進(jìn)行有效的效驗(yàn),致使木馬����、外掛在加載過程中可以劫持可執(zhí)行文件,修改可執(zhí)行文件達(dá)到獲取利益�,破壞程序問題。并且目前狀況非常嚴(yán)重����。2.由于上述的問題,現(xiàn)在出現(xiàn)了專業(yè)的安全保護(hù)軟件殺軟�、防火墻、保險(xiǎn)箱等第三方的可執(zhí)行文件加載保護(hù)程序�����。但是這些第三方的軟件由于技術(shù)原因和環(huán)境原因經(jīng)常造成對(duì)安全的正常的可執(zhí)行文件誤刪���、誤殺問題。給很多經(jīng)常需要更新的程序造成非常大的問題����,被誤刪,誤殺后只能跟第三方聯(lián)系后進(jìn)行處理�;或者等待第三方的更新。這樣讓人有種被第三方安全軟件挾持的感覺。哪怕是被安全認(rèn)證的可執(zhí)行文件(比如有文件簽名等) 也經(jīng)常被這些問題困惑�。從安全方面考慮又不能放棄第三方的安全軟件(有些是不能被你控制的問題,比如用戶的機(jī)器環(huán)境)���。綜上所述�,對(duì)于可執(zhí)行文件的安全性�����,防止被惡意軟件劫持修改��、可執(zhí)行文件加載的兼容性以及防止第三方安全軟件誤殺這些技術(shù)問題��。目前市面上還沒有能完整解決此類問題的解決方案�����。
發(fā)明內(nèi)容
鑒于上述技術(shù)問題���,本發(fā)明提供了一種應(yīng)用于windows系統(tǒng)的可執(zhí)行文件安全加載的方法���。該方法主要思路是使用一個(gè)被安全認(rèn)證后的可執(zhí)行文件加載器把需要加載的安全的可執(zhí)行文件程序轉(zhuǎn)換成數(shù)據(jù)模塊,由加載器完成程序的合法性效驗(yàn)�、環(huán)境的安全性效驗(yàn)�����、可執(zhí)行文件程序的初始化等�。完成后把代碼執(zhí)行流交給原來的可執(zhí)行文件入口�����,完成一個(gè)可執(zhí)行文件的安全加載過程��。由于被認(rèn)證后的可執(zhí)行文件加載器是不會(huì)變化的����,不會(huì)被第三方安全軟件誤殺。 使得可執(zhí)行文件加載器的加載過程保證了被加載的可執(zhí)行文件不會(huì)被惡意軟件劫持修改����, 不會(huì)被第三方安全軟件誤殺,其原因是被加載的可執(zhí)行文件已經(jīng)被轉(zhuǎn)換成數(shù)據(jù)文件���,而數(shù)據(jù)文件是不會(huì)被第三方安全軟件誤殺了。故本發(fā)明方法解決了上述以往可執(zhí)行文件加載過程中長(zhǎng)久存在的技術(shù)困難�。本發(fā)明的具體技術(shù)方案如下可執(zhí)行文件安全加載的方法,包括可執(zhí)行文件的加密過程和可執(zhí)行文件的加載過 可執(zhí)行文件的加密過程包括
Al :把需要加密的安全可執(zhí)行文件程序按可執(zhí)行文件的段屬性分解開�,分別加密可執(zhí)行文件頭、可執(zhí)行文件的代碼、數(shù)據(jù)�、資源;A2 :把分別加密的段數(shù)據(jù)混合組裝成數(shù)據(jù)塊����,該數(shù)據(jù)塊還會(huì)被可執(zhí)行文件加載器在加密過程形成的水印保護(hù),且不能被修改替換�,并以密文的數(shù)據(jù)保存下來。需要指出的是上述被加密的可執(zhí)行文件通過加密處理后已經(jīng)不是個(gè)標(biāo)準(zhǔn)的可執(zhí)行文件���,這樣也保證原可執(zhí)行文件的安全性要求�����。對(duì)于可執(zhí)行文件的加載����,其過程涉及三大部分①安全的可執(zhí)行文件加載器��,即已經(jīng)被安全認(rèn)證的主程序�;②可執(zhí)行文件處理模塊,即可執(zhí)行文件數(shù)據(jù)解密���、安全效驗(yàn)���、組裝算法模塊����;③可執(zhí)行文件的數(shù)據(jù)模塊�,即被加密的可執(zhí)行文件形成的數(shù)據(jù)和水印數(shù)據(jù)組成的數(shù)據(jù)模塊??蓤?zhí)行文件的加載過程包括BI :可執(zhí)行文件加載器負(fù)責(zé)加載可執(zhí)行文件數(shù)據(jù)模塊以及申請(qǐng)模塊存放的空間這些初始化過程;B2 :可執(zhí)行文件處理模塊負(fù)責(zé)按照加密數(shù)據(jù)結(jié)構(gòu)解密出原始的可執(zhí)行文件���,并在內(nèi)存中組裝成一個(gè)可以被正確執(zhí)行的可執(zhí)行文件數(shù)據(jù)片段�;這個(gè)片段不再是標(biāo)準(zhǔn)的可執(zhí)行文件�,而是以數(shù)據(jù)塊的方式存在。B3 :在解密過程中通過加密過程中的水印數(shù)據(jù)效驗(yàn)解密的數(shù)據(jù)����,保證數(shù)據(jù)的完整性,并對(duì)可執(zhí)行文件的導(dǎo)入表���、導(dǎo)出表進(jìn)行安全性檢查�;這樣保證了可執(zhí)行文件加載過程不被惡意軟件劫持破壞����。B4 :完成可執(zhí)行文件的組裝和初始化后把代碼執(zhí)行流交給可執(zhí)行文件的入口。完成安全加載過程�。本發(fā)明所述的安全加載技術(shù)方案加載的可執(zhí)行文件是個(gè)受安全加載技術(shù)方案加密過程中形成的水印保護(hù),保證了數(shù)據(jù)的完整性���、可靠性�、安全性�。加載過程中可執(zhí)行文件的加載地址是隨機(jī)生成的,組裝后的可執(zhí)行文件結(jié)構(gòu)是個(gè)非標(biāo)準(zhǔn)的可執(zhí)行文件�,并且是以數(shù)據(jù)塊的形式存儲(chǔ)在內(nèi)存中的?�?蓤?zhí)行文件的導(dǎo)入表����、導(dǎo)出表會(huì)被安全加載。該方案中的可執(zhí)行文件不會(huì)被惡意軟件劫持破壞����,不會(huì)被第三方的安全殺毒軟件誤殺,程序的更新只是修改了已加密的數(shù)據(jù)模塊�����,不會(huì)受到原來那些問題的困擾了�����。
以下結(jié)合附圖
和具體實(shí)施方式
來進(jìn)一步說明本發(fā)明。圖I為本發(fā)明方法中可執(zhí)行文件的加密過程流程圖��。圖2為本發(fā)明方法中可執(zhí)行文件的加載過程流程圖��。
具體實(shí)施例方式為了使本發(fā)明實(shí)現(xiàn)的技術(shù)手段�、創(chuàng)作特征、達(dá)成目的與功效易于明白了解����,下面結(jié)合具體圖示,進(jìn)一步闡述本發(fā)明�����。本發(fā)明所述的執(zhí)行文件安全加載的方法��,主要由可執(zhí)行文件的加密過程和可執(zhí)行文件的加載過程這兩個(gè)步驟組成���。
4
如圖I所示����,可執(zhí)行文件的加密過程步驟如下SlOl :把需要加密的安全可執(zhí)行文件程序按可執(zhí)行文件的段屬性分解開,分別加密可執(zhí)行文件頭�,具體而言就是根據(jù)程序pe header解析程序結(jié)構(gòu)并加密這個(gè)pe結(jié)構(gòu)數(shù)據(jù)。S102 :接著對(duì)可執(zhí)行文件的代碼���、數(shù)據(jù)、資源等進(jìn)行數(shù)據(jù)加密����,即采用AES加密算法,每16字節(jié)為一組進(jìn)行循環(huán)加密�,從而防止加載過程被惡意程序劫持。S103 :把分別加密的段混合組裝成數(shù)據(jù)塊���,被加密的可執(zhí)行文件通過加密處理后已經(jīng)不是個(gè)標(biāo)準(zhǔn)的可執(zhí)行文件���。而是以密文的數(shù)據(jù)保存下來。S104 :這個(gè)數(shù)據(jù)塊還會(huì)被可執(zhí)行文件加載器的加密過程形成的水印保護(hù)�,不能被修改替換。從而保證原可執(zhí)行文件的安全性要求�。如圖2所示,對(duì)于可執(zhí)行文件的加載�,首先按照功能分為三個(gè)部分Ml :安全的可執(zhí)行文件加載器(已經(jīng)被安全認(rèn)證的主程序);M2 :可執(zhí)行文件處理模塊(可執(zhí)行文件數(shù)據(jù)解密���、安全效驗(yàn)���、組裝算法模塊)�;M3 :可執(zhí)行文件的數(shù)據(jù)模塊(被加密的可執(zhí)行文件形成的數(shù)據(jù)和水印數(shù)據(jù)組成的數(shù)據(jù)模塊)����。具體的加載過程步驟如下S201 :可執(zhí)行文件加載器負(fù)責(zé)加載可執(zhí)行文件數(shù)據(jù)模塊、申請(qǐng)模塊存放的空間等初始化過程����。S202 :可執(zhí)行文件處理模塊負(fù)責(zé)按照加密數(shù)據(jù)結(jié)構(gòu)解密出原始的可執(zhí)行文件,并在內(nèi)存中組裝成一個(gè)可以被正確執(zhí)行的可執(zhí)行文件數(shù)據(jù)片段�。這個(gè)片段不再是標(biāo)準(zhǔn)的可執(zhí)行文件,而是以數(shù)據(jù)塊的方式存在��。在解密過程中通過加密過程中的水印數(shù)據(jù)效驗(yàn)解密的數(shù)據(jù)�,保證數(shù)據(jù)的完整性。在解密的過程中會(huì)對(duì)可執(zhí)行文件的導(dǎo)入表�、導(dǎo)出表進(jìn)行安全性檢查,保證可執(zhí)行文件加載過程不被惡意軟件劫持破壞��。S203 :完成可執(zhí)行文件的組裝和初始化后把代碼執(zhí)行流交給可執(zhí)行文件的入口��。 完成安全加載過程���。以上顯示和描述了本發(fā)明的基本原理和主要特征和本發(fā)明的優(yōu)點(diǎn)�。本行業(yè)的技術(shù)人員應(yīng)該了解,本發(fā)明不受上述實(shí)施例的限制��,上述實(shí)施例和說明書中描述的只是說明本發(fā)明的原理���,在不脫離本發(fā)明精神和范圍的前提下��,本發(fā)明還會(huì)有各種變化和改進(jìn),這些變化和改進(jìn)都落入要求保護(hù)的本發(fā)明范圍內(nèi)�����。本發(fā)明要求保護(hù)范圍由所附的權(quán)利要求書及其等效物界定��。
權(quán)利要求
1.可執(zhí)行文件安全加載的方法�,其特征在于,包括可執(zhí)行文件的加密過程和可執(zhí)行文件的加載過程�;所述可執(zhí)行文件的加密過程包括Al :把需要加密的安全可執(zhí)行文件程序按可執(zhí)行文件的段屬性分解開,分別加密可執(zhí)行文件頭�、可執(zhí)行文件的代碼、數(shù)據(jù)����、資源;A2 :把分別加密的段數(shù)據(jù)混合組裝成數(shù)據(jù)塊,該數(shù)據(jù)塊還會(huì)被可執(zhí)行文件加載器在加密過程形成的水印保護(hù)�,且不能被修改替換,并以密文的數(shù)據(jù)保存下來��;所述可執(zhí)行文件的加載過程包括BI :可執(zhí)行文件加載器負(fù)責(zé)加載可執(zhí)行文件數(shù)據(jù)模塊以及申請(qǐng)模塊存放的空間這些初始化過程�;B2 :可執(zhí)行文件處理模塊負(fù)責(zé)按照加密數(shù)據(jù)結(jié)構(gòu)解密出原始的可執(zhí)行文件,并在內(nèi)存中組裝成一個(gè)可以被正確執(zhí)行的可執(zhí)行文件數(shù)據(jù)片段�����;B3 :在解密過程中通過加密過程中的水印數(shù)據(jù)效驗(yàn)解密的數(shù)據(jù)����,保證數(shù)據(jù)的完整性,并對(duì)可執(zhí)行文件的導(dǎo)入表�、導(dǎo)出表進(jìn)行安全性檢查;B4 :完成可執(zhí)行文件的組裝和初始化后把代碼執(zhí)行流交給可執(zhí)行文件的入口�����,完成安全加載過程��。
2.根據(jù)權(quán)利要求I的可執(zhí)行文件安全加載的方法�����,其特征在于,可執(zhí)行文件加密過程中采用AES加密算法�����,每16字節(jié)為一組進(jìn)行循環(huán)加密�。
3.根據(jù)權(quán)利要求I的可執(zhí)行文件安全加載的方法,其特征在于��,所述安全的可執(zhí)行文件加載器為已經(jīng)被安全認(rèn)證的主程序�����。
4.根據(jù)權(quán)利要求I的可執(zhí)行文件安全加載的方法����,其特征在于��,所述可執(zhí)行文件處理模塊包括可執(zhí)行文件數(shù)據(jù)解密��、安全效驗(yàn)�、組裝算法模塊。
5.根據(jù)權(quán)利要求I的可執(zhí)行文件安全加載的方法�����,其特征在于,所述可執(zhí)行文件的數(shù)據(jù)模塊包括被加密的可執(zhí)行文件形成的數(shù)據(jù)和水印數(shù)據(jù)組成的數(shù)據(jù)模塊�。
全文摘要
本發(fā)明公開了一種應(yīng)用于windows系統(tǒng)的可執(zhí)行文件安全加載的方法。該方法主要思路是使用一個(gè)被安全認(rèn)證后的可執(zhí)行文件加載器把需要加載的安全的可執(zhí)行文件程序轉(zhuǎn)換成數(shù)據(jù)模塊��,由加載器完成程序的合法性效驗(yàn)�、環(huán)境的安全性效驗(yàn)、可執(zhí)行文件程序的初始化等���。完成后把代碼執(zhí)行流交給原來的可執(zhí)行文件入口�,完成一個(gè)可執(zhí)行文件的安全加載過程���。由于被認(rèn)證后的可執(zhí)行文件加載器是不會(huì)變化的�����,不會(huì)被第三方安全軟件誤殺�����。使得可執(zhí)行文件加載器的加載過程保證了被加載的可執(zhí)行文件不會(huì)被惡意軟件劫持修改���,不會(huì)被第三方安全軟件誤殺,其原因是被加載的可執(zhí)行文件已經(jīng)被轉(zhuǎn)換成數(shù)據(jù)文件����,而數(shù)據(jù)文件是不會(huì)被第三方安全軟件誤殺了�����。
文檔編號(hào)G06F21/00GK102609284SQ20121002222
公開日2012年7月25日 申請(qǐng)日期2012年2月1日 優(yōu)先權(quán)日2012年2月1日
發(fā)明者衛(wèi)鵬飛 申請(qǐng)人:上海游安網(wǎng)絡(luò)科技有限公司