买专利卖专利找龙图腾，真高效！ 查专利查商标用IPTOP,全免费！专利年费监控用IP管家,真方便！

龙图腾网获悉南京烽火天地通信科技有限公司申请的专利一种针对恶意文件的自动化脱壳引擎实现方法获国家发明授权专利权，本发明授权专利权由国家知识产权局授予，授权公告号为：CN113868648B 。

龙图腾网通过国家知识产权局官网在2025-07-15发布的发明授权授权公告中获悉：该发明授权的专利申请号/专利号为：202111052133.X，技术领域涉及：G06F21/56；该发明授权一种针对恶意文件的自动化脱壳引擎实现方法是由祝远鉴;姜路遥;廖珩设计研发完成，并于2021-09-08向国家知识产权局提交的专利申请。

本一种针对恶意文件的自动化脱壳引擎实现方法在说明书摘要公布了：本发明公开了一种针对恶意文件的自动化脱壳引擎实现方法，该方法通过加载云端规则库方式实现自动化脱壳引擎并支持高效率运行速度快的特点进行脱壳，该方法针对各种加壳后的PE文件进行识别，采用多点式内存动态扫描，仿真PE加载，仿真断点，高精确度的反汇编识别机制，内存抓取镜像技术快速定位壳特征迅速脱壳进行修复。本发明自动化脱壳引擎不仅能够快速脱壳修复脱壳的文件，还能辅助安全研究工程师快速对脱壳后的恶意样本以及流量特征进行提取并且支持第三方沙盘环境中对其他恶意样本进行脱壳分析，对网络安全流量感知带来一定能力上的提升。

本发明授权一种针对恶意文件的自动化脱壳引擎实现方法在权利要求书中公布了：1.一种针对恶意文件的自动化脱壳引擎实现方法，其特征在于，包括以下步骤： 步骤S1，加载云端壳规则库； 步骤S2，读取PE文件二进制流到内存并执行； 步骤S3，反汇编指令解析模块识别特定壳特征及壳解压位置； 步骤S4，定位特定壳特征解密代码位置，设置断点并解密加壳前文件代码； 步骤S5，申请内存，并将解密后的代码段拷贝到新内存空间； 步骤S6，修复新内存空间的PE代码段； 步骤S7，通过文件dump模块dump新内存空间的PE代码段并镜像保存至本地文件； 步骤S4中，首先，由通用壳识别并解密数据流算法模块对当前的反汇编中的解压算法和壳解密算法进行定位和识别，识别条件依据于云端壳规则库，如果发现与规则库匹配的特征设置软件断点或硬件执行断点的方式，对目标的opcode算法特征EIP所指向的代码位置设置断点，并让程序运行到断点所选位置； 接着，调用OEP分散式识别模块对解密后的code段进行加壳前的OEP入口分散式多点匹配，经路径搜索方式追踪得到真实程序的OEP入口代码； 步骤S7所述文件dump模块包括PE文件转储模块、区段重建模块、内层抓取镜像模块和新的OEP计算模块，当IAT修复模块和tls重定位修复模块完成修复后，调用内存抓取镜像模块对PE内存中映像基址入口到资源节的位置进行全内存抓取后，调用PE文件转储模块进行转存到磁盘，接着调用区段重建模块对当前转存后，dump文件添加一个新的节用来存放修复后的IAT表代码，并调用新的OEP计算模块对当前映像基址加上虚拟相对地址，得到新的OEP入口地址后填充到本地dump文件中，完成所有脱壳的操作，并且生成新的脱壳后的二进制PE可执行文件； 步骤S6中，调用IAT修复模块对当前脱壳后的目标程序调用的API函数表进行识别并修复原始输入表中的API函数，然后再调用tls重定位修复模块对脱壳后基址重定位TLS位置进行动态修复，以保证程序脱壳后的正常运行。

如需购买、转让、实施、许可或投资类似专利技术，可联系本专利的申请人或专利权人南京烽火天地通信科技有限公司，其通讯地址为：211161 江苏省南京市江宁区滨江经济开发区盛安大道739号；或者联系龙图腾网官方客服，联系龙图腾网可拨打电话0551-65771310或微信搜索“龙图腾网”。