公开(公告)号：CN117573142A

公开(公告)日：2024-02-20

申请号：CN202410050617.8

申请日：2024-01-15

Applicant: 广州大学 ,  国网江西省电力有限公司信息通信分公司 ,  软极网络技术(北京)有限公司

Inventor： 田志宏 ,  唐鹏威 ,  鲁辉 ,  伍郭成 ,  刘昊 ,  苏申 ,  刘园 ,  孙彦斌 ,  李镇山 ,  郭帅 ,  黎伟杰 ,  鲁健安 ,  何群 ,  邱日轩 ,  徐天福 ,  郑志彬 ,  崔宇

IPC: G06F8/53 ,  G06F8/30 ,  G06F21/56

Abstract: 本发明公开了基于模拟执行的JAVA代码反混淆器，涉及反混淆器技术领域，通过反编译模块将JAR文件反编译为JAVA字节码，通过模拟执行模块对JAVA字节码进行解密，进而进行指令执行，并将执行结果保存，分析模块分析模拟执行模块的执行结果，从而简化混淆的反编译代码，不仅提高了恶意软件的检测准确性，也有助于揭示隐藏在代码中的潜在威胁。提高安全分析效率：借助自动化的反混淆过程，显著减少人工分析的需求，从而提升安全专家在处理大量混淆代码时的工作效率。动态分析与高适应性：本发明不仅能处理静态的混淆模式，还能适应和解析动态生成的代码和复杂的执行流程，能够快速适应并提供有效的反混淆结果。

公开(公告)号：CN117573142B

公开(公告)日：2024-04-23

申请号：CN202410050617.8

申请日：2024-01-15

Applicant: 广州大学 ,  国网江西省电力有限公司信息通信分公司 ,  软极网络技术(北京)有限公司

Inventor： 田志宏 ,  唐鹏威 ,  鲁辉 ,  伍郭成 ,  刘昊 ,  苏申 ,  刘园 ,  孙彦斌 ,  李镇山 ,  郭帅 ,  黎伟杰 ,  鲁健安 ,  何群 ,  邱日轩 ,  徐天福 ,  郑志彬 ,  崔宇

IPC: G06F8/53 ,  G06F8/30 ,  G06F21/56

Abstract: 本发明公开了基于模拟执行的JAVA代码反混淆器，涉及反混淆器技术领域，通过反编译模块将JAR文件反编译为JAVA字节码，通过模拟执行模块对JAVA字节码进行解密，进而进行指令执行，并将执行结果保存，分析模块分析模拟执行模块的执行结果，从而简化混淆的反编译代码，不仅提高了恶意软件的检测准确性，也有助于揭示隐藏在代码中的潜在威胁。提高安全分析效率：借助自动化的反混淆过程，显著减少人工分析的需求，从而提升安全专家在处理大量混淆代码时的工作效率。动态分析与高适应性：本发明不仅能处理静态的混淆模式，还能适应和解析动态生成的代码和复杂的执行流程，能够快速适应并提供有效的反混淆结果。

公开(公告)号：CN117370979A

公开(公告)日：2024-01-09

申请号：CN202311302432.3

申请日：2023-10-09

Applicant: 广州大学

Inventor： 田志宏 ,  刘昊 ,  鲁辉 ,  杨南顺 ,  孙彦斌 ,  唐鹏威 ,  苏申 ,  李镇山 ,  仇晶 ,  郭帅

IPC: G06F21/56

Abstract: 本公开提供了一种系统软件脱壳方法及装置，其中，方法包括：开启脱壳线程，如果当前运行的应用程序为目标脱壳程序，利用系统机制在Native层的缓存中获取原始DEX文件，即O_DEX文件，从O_DEX文件中读取类和函数信息，借助配置中心提供的类和函数白名单对类和函数信息进行过滤，对过滤后函数进行主动调用；拦截主动调用的函数，强制让主动调用的函数进入解释器执行通道，在解释器处再次拦截主动调用的函数，记录主动调用的函数所属O_DEX文件的内存位置和大小，将主动调用的函数对应函数体的字节码写入比特文件中，当所有O_DEX文件对应的比特文件写入完毕后，下载O_DEX文件得到D_DEX文件；通过自定义修复组件将D_DEX文件与比特文件合并，得到新DEX文件。

公开(公告)号：CN117290843A

公开(公告)日：2023-12-26

申请号：CN202311226034.8

申请日：2023-09-21

Applicant: 广州大学

Inventor： 田志宏 ,  唐鹏威 ,  鲁辉 ,  杨南顺 ,  苏申 ,  刘昊 ,  孙彦斌 ,  仇晶 ,  刘园 ,  徐光侠 ,  李默涵 ,  姜誉 ,  张乐君

IPC: G06F21/56

Abstract: 本说明书实施例提供了一种基于JNI的VMP壳函数语义还原方法、装置、设备及介质，其中，方法包括：以Android系统提供的调用Java函数的所有Java本地接口JNI的收束函数作为监控函数，通过监控函数对JNI进行监控；使用所述监控函数识别调用者身份，在VMP壳执行过程中，利用Android系统的调用栈得到VMP壳当前正在执行的被保护函数的ArtMethod对象，进而得到这个被保护函数的监控信息；将所述监控信息进行线性组合，还原被保护代码的原始语义。本发明在还原Android软件中的受VMP保护代码方面具有弱先验数据依赖、自动化、高效性，可以大大降低恶意软件分析的工作量。

公开(公告)号：CN117055953A

公开(公告)日：2023-11-14

申请号：CN202311013643.5

申请日：2023-08-11

Applicant: 广州大学

Inventor： 田志宏 ,  唐鹏威 ,  鲁辉 ,  杨南顺 ,  孙彦斌 ,  刘昊 ,  苏申 ,  仇晶 ,  徐光侠 ,  刘园 ,  姜誉 ,  李默涵 ,  张乐君

IPC: G06F8/74 ,  G06F8/41 ,  G06F9/448

Abstract: 本发明公开了一种面向安卓系统脱壳环境下的追踪方法及系统，包括：S1、目标指令复制及修复，执行修复后的目标指令；S2、目标指令执行结束后对执行环境保护；S3、打印执行结束后目标指令或寄存器信息；S4、选择插桩时机，完成追踪。本发明可以实现面向安卓系统脱壳环境下的追踪。

公开(公告)号：CN117336039A

公开(公告)日：2024-01-02

申请号：CN202311248522.9

申请日：2023-09-25

Applicant: 广州大学

Inventor： 田志宏 ,  郭帅 ,  仇晶 ,  张智勇 ,  鲁辉 ,  刘昊 ,  孙彦斌 ,  李镇山 ,  唐鹏威

IPC: H04L9/40 ,  G06N3/0499 ,  G06N3/048 ,  G06N3/0464 ,  G06N3/0455 ,  G06N3/084

Abstract: 本说明书实施例提供了一种基于端到端模型的TTP标签预测方法、装置、设备及介质，其中，方法包括对获取的软件样本进行预处理得到操作码特征和BCFG特征；构建Omodel模型和GIN模型；所述Omodel模型包括CNN层、扁平化层及分类层；所述GIN模型包括图同构网络层，全局平均池化层，跳跃知识技术层和MLP层；对构建的Omodel模型和GIN模型分别进行训练得到TTP标签预测模型；将待测操作码特征和BCFG特征输入，基于Sigmoid函数得到各自类别TTP标签的概率。以解决兼容各平台的TTP标签预测和保留标签之间关联性问题。

公开(公告)号：CN117290844A

公开(公告)日：2023-12-26

申请号：CN202311226472.4

申请日：2023-09-21

Applicant: 广州大学

Inventor： 田志宏 ,  刘昊 ,  鲁辉 ,  张智勇 ,  孙彦斌 ,  李镇山 ,  苏申 ,  唐鹏威 ,  仇晶 ,  郭帅

IPC: G06F21/56 ,  G06F18/241

Abstract: 本说明书实施例提供了一种基于集成学习的恶意软件APT组织分类方法及系统，其中，方法包括：提取获取的恶意软件数据集的多维度特征构成特征集；特征集包括PE头统计特征、二进制灰度特征、OpCode特征和CFG特征；根据特征集训练多个基分类器，对不同维度特征进行特征组合，基于特征对应的的基分类器，利用集成学习方法得到集成学习模型；通过特征集输入到集成分类器中，找出最佳的特征组合和集成学习模型作为分类模型，通过分类模型进行恶意软件APT组织分类。本发明可以从已有的APT组织恶意软件中构建出与之对应的恶意软件的行为模型和攻击模型，最终实现对APT组织的溯源任务，为网络安全防御提供更有效的参考和指导。