(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211440741.2 (22)申请日 2022.11.17 (71)申请人 北京华云安信息技 术有限公司 地址 100094 北京市海淀区丰豪东路9号2 号楼10层4单 元1001 (72)发明人 王伟　李超　肖达　刘加勇　 (74)专利代理 机构 北京华专卓 海知识产权代理 事务所(普通 合伙) 11664 专利代理师 王一 (51)Int.Cl. G06F 21/62(2013.01) G06F 16/16(2019.01) (54)发明名称 一种基于无文件技术的反解析文件保护方 法和装置 (57)摘要 本公开的实施例提供了一种基于无文件技 术的反解析文件保护方法和装置， 应用于信息安 全领域。 所述方法包括预先写入磁盘中的第一加 载器响应于启动指令， 对第一加载器所携带的被 保护文件进行PE格式判断； 若为PE文件格式， 则 在内存中进行第一加载器绑 定操作， 得到第二加 载器； 所述第二加载器将第二加载器自身数据及 其携带的被 保护文件数据 移动到磁盘； 所述第二 加载器对其携带的被保护文件进行无文件处理。 以此方式， 可以有效避免加载器文件储存在被 保 护文件中的数据被磁盘扫描软件扫描到， 且可以 阻止扫描上传后对加载器文件运行方式和/或功 能的解析。 权利要求书1页 说明书6页 附图2页 CN 115495794 A 2022.12.20 CN 115495794 A 1.一种基于无文件技 术的反解析文件保护方法， 其特 征在于， 包括： 预先写入磁盘 中的第一加载器响应于启动指令， 对第 一加载器所携带的被保护文件进 行PE格式判断； 若为PE文件格式， 则在内存中进行第一加载器绑定操作， 得到第二加载器； 所述第二加载器将第二加载器自身数据及其携带的被保护文件数据移动到磁 盘； 所述第二加载器对其携带的被保护文件进行 无文件处 理。 2.根据权利要求1所述的方法， 其特征在于， 所述在内存中进行第一加载器绑定操作， 得到第二加载器， 包括： 所述第一加载器在内存中申请堆空间并将第一加载器自身数据及其携带的被保护文 件数据写入所述 堆空间中； 将本地软硬件相关的应用程序接口地址写入堆空间中第 一加载器的导入地址表中， 得 到第二加载器。 3.根据权利要求1所述的方法， 其特征在于， 所述第 二加载器将第 二加载器自身数据及 其携带的被保护文件数据移动到磁 盘， 包括： 对所述第二加载器的自身 文件名进行随机改名； 在磁盘中创建加载器文件并将所述第二加载器自身数据及其携带的被保护文件数据 移动到所述加载器文件中。 4.根据权利要求3所述的方法， 其特 征在于， 所述方法还 包括： 在所述第二加载器将第二加载器自身数据及其携带的被保护文件数据移动到磁盘之 前/之后/同时， 删除磁 盘内的第一加载器自身数据及其携带的被保护文件数据。 5.根据权利要求3所述的方法， 其特 征在于， 所述无文件处 理， 包括： 在NTFS事务中创建一个删除关闭文件并将所述加载器文件中第二加载器所携带的被 保护文件数据移动到所述删除关闭文件中； 在内存中创建新进程并为新进程创建一个执行所述删除关闭文件的新线程， 并关闭所 述删除关闭文件。 6.一种基于无文件技 术的反解析文件保护装置， 其特 征在于， 包括： PE格式判定模块， 用于判定被保护文件是否为PE格式文件， 若不 为PE格式， 则结束； 绑定操作模块， 用于当被保护文件为PE格 式文件时， 对第 一加载器进行绑定操作， 得到 第二加载器； 磁盘移入模块， 用于将第二加载器自身数据及其携带的被保护文件数据移动到磁 盘； 无文件处 理模块， 用于对第二加载器携带的被保护文件进行 无文件处 理。 7.一种电子设备， 其特 征在于， 包括： 至少一个处 理器； 以及 与所述至少一个处 理器通信连接的存 储器； 其中， 所述存储器存储有可被所述至少一个处理器执行的指令， 所述指令被所述至少一个处 理器执行， 以使所述至少一个处 理器能够执 行权利要求1 ‑5中任一项所述的方法。 8.一种存储有计算机指令的非瞬时计算机可读存储介质， 其特征在于， 所述计算机指 令用于使所述计算机执 行根据权利要求1 ‑5中任一项所述的方法。权　利　要　求　书 1/1 页 2 CN 115495794 A 2一种基于无 文件技术的反解 析文件保护方 法和装置 技术领域 [0001]本公开涉及信息安全领域， 尤其涉及一种基于无文件技术的反解析文件保护方法 和装置。 背景技术 [0002]目前保护程序不被上传或者解析的手段比较单一， 绝大多数采用的是在程序执行 之前结束扫描软件进程， 或者采用网络下载到内存的无文件文件保护方式。 结束扫描软件 进程成本昂贵， 而且动静大， 通常不采用， 或者作为 终极手段关键时候 发挥作用， 局限颇大。 网络下载到内存的无文件攻击方式网络下载这种 方式相对常见， 但并不能反上传解析。 扫 描软件可以将下载的内容上传 并进行解析， 使被保护程序的运行方式和/或功能被扫描软 件所了解。 发明内容 [0003]本公开提供了一种基于无文件技 术的反解析文件保护方法和装置 。 [0004]根据本公开的第一方面， 提供了一种基于无文件技术的反解析文件保护方法， 包 括： 预先写入磁盘中的第一加载器响应于启动指令， 对第一加载器所携带的被保护文 件进行PE格式判断； 若为PE文件格式， 则在内存中进行第一加载器绑定操作， 得到第二加载器； 所述第二加载器将第二加载器自身数据及其携带的被保护文件数据移动到磁 盘； 所述第二加载器对其携带的被保护文件进行 无文件处 理。 [0005]进一步的， 所述在内存中进行第一加载器绑定操作， 得到第二加载器， 包括: 所述第一加载器在内存中申请堆空间并将第一加载器自身数据及其携带的被保 护文件数据写入所述 堆空间中； 将本地软硬件相关的应用程序接口地址写入堆空间中第一加载器的导入地址表 中， 得到第二加载器。 [0006]进一步的， 所述第二加载器将第二加载器自身数据及其携带的被保护文件数据移 动到磁盘， 包括： 对所述第二加载器的自身 文件名进行随机改名； 在磁盘中创建加载器文件并将所述第二加载器自身数据及其携带的被保护文件 数据移动到所述加载器文件中。 [0007]进一步的， 所述方法还 包括： 在所述第二加载器将第二加载器自身数据及其携带的被保护文件数据移动到磁 盘之前/之后/同时， 删除磁 盘内的第一加载器自身数据及其携带的被保护文件数据。 [0008]进一步的， 所述无文件处 理， 包括： 在NTFS事务中创建一个删除关闭文件并将所述加载器文件中第二加载器所携带说　明　书 1/6 页 3 CN 115495794 A 3