專利名稱：一種基于硬件模擬器的惡意代碼在線分析方法及系統(tǒng)的制作方法
一種基于硬件模擬器的惡意代碼在線分析方法及系統(tǒng)技術(shù)領(lǐng)域
本發(fā)明主要涉及網(wǎng)絡(luò)環(huán)境下的惡意代碼分析方法，更確切地是涉及一種基于硬件 模擬器的惡意代碼在線分析方法和系統(tǒng)。
背景技術(shù)：
我國的互聯(lián)網(wǎng)正處于快速發(fā)展階段，各種互聯(lián)網(wǎng)應(yīng)用層出不窮，互聯(lián)網(wǎng)規(guī)模不斷 膨脹。第27次中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告顯示，截至2010年12月，中國網(wǎng)民規(guī)模達(dá)到 4. 57億；互聯(lián)網(wǎng)普及率攀升至34. 3%，較2009年提高5. 4個百分點(diǎn)?；ヂ?lián)網(wǎng)迅速發(fā)展的背 后,螺蟲(Worm)、僵尸網(wǎng)絡(luò)(Botnet)、間謀軟件(SpyWare)、計(jì)算機(jī)病毒(Computer Virus) 等惡意代碼在互聯(lián)網(wǎng)上也以爆發(fā)性的速度進(jìn)行傳播，對商業(yè)組織，政府機(jī)構(gòu)以及網(wǎng)絡(luò)服務(wù) 提供商都造成了巨大的損失，并且引發(fā)難以估量的安全風(fēng)險(xiǎn)。金山網(wǎng)絡(luò)發(fā)布的《2010-2011 中國互聯(lián)網(wǎng)安全研究報(bào)告》顯示，2010年病毒集團(tuán)橫行互聯(lián)網(wǎng)，80%的病毒傳播渠道被病毒 集團(tuán)所操控，而作為互聯(lián)網(wǎng)最直接的經(jīng)濟(jì)交易平臺，網(wǎng)購人群也成為了病毒集團(tuán)攻擊的主 要目標(biāo)。
惡意代碼的廣泛傳播，更新速度的大大加快和對抗手段的不斷提高，對現(xiàn)有的檢 測和分析技術(shù)帶來了嚴(yán)峻的挑戰(zhàn)。其特征主要表現(xiàn)在
(I)惡意代碼版本更新越來越快。由于當(dāng)前反病毒廠商普遍使用特征碼匹配技 術(shù)檢測病毒，惡意代碼編寫人員開始嘗試使用短時間內(nèi)快速修改代碼特征的方法來躲避查 殺。
(2)惡意代碼對抗檢測和分析的技術(shù)能力不斷提高，生存能力不斷增強(qiáng)。惡意代碼 編寫者普遍使用代碼變形、加殼等技術(shù)來對自身進(jìn)行混淆，同時使用底層技術(shù)破壞惡意代 碼檢測工具和調(diào)試工具的工作機(jī)理，以干擾工具檢測和研究人員的分析。
(3)惡意代碼行為相似性越來越高，同族變種層出不窮。惡意代碼編寫者通過使用 快速修改特征碼和代碼混淆的方法升級惡意代碼，使惡意代碼族群不斷出現(xiàn)變種。同時惡 意代碼作者通過模塊化設(shè)計(jì)，通過更新局部模塊的方法產(chǎn)生新的變種，導(dǎo)致同族惡意代碼 之間的行為相似程度越來越高。
目前應(yīng)對惡意代碼的解決方案仍然是使用殺毒軟件、防火墻等傳統(tǒng)的基于特征碼 匹配的惡意代碼檢測和防護(hù)手段。如何針對未知惡意代碼樣本展開分析引起了國內(nèi)外學(xué)者 的廣泛關(guān)注，并且提出了一系列的解決思路和方法。主要可以分為如下三個研究重點(diǎn)一是 惡意代碼分析研究，通過對惡意代碼進(jìn)行靜態(tài)分析和動態(tài)分析，分析惡意代碼的行為模式， 提取惡意代碼的特征；另一方面是同族惡意代碼識別研究，通過研究二進(jìn)制文件結(jié)構(gòu)或惡 意代碼外部行為的相似性，試圖判定或劃分惡意代碼的族類并以族類為目標(biāo)進(jìn)行分析和研 究，提取族類特征以解決當(dāng)前分析和檢測針對單個樣本的問題；最后一方面是惡意代碼檢 測研究，通過改進(jìn)惡意代碼檢測手段提高檢測的準(zhǔn)確性，通過使用族類特征提高檢測惡意 代碼族類變種的能力。然而針對惡意代碼的分析往往需要專業(yè)人員攜帶專業(yè)設(shè)備進(jìn)行人工 分析，這種分析方法便利性差、且耗費(fèi)人力物力，因此，在互聯(lián)網(wǎng)普及的當(dāng)下環(huán)境中，如何能夠提供一種即準(zhǔn)確又方便的在線惡意代碼機(jī)理分析服務(wù)成為了當(dāng)下較為迫切的需求。發(fā)明內(nèi)容
針對上述問題，本發(fā)明提出一種基于硬件模擬器的惡意代碼在線分析方法，其目 的在于提供一種只需要用戶在互聯(lián)網(wǎng)環(huán)境下就可以獲得惡意代碼機(jī)理分析服務(wù)的方法。利 用該方法，當(dāng)用戶需要分析一種惡意代碼時，只需提交該代碼到響應(yīng)服務(wù)器，由服務(wù)器通過 負(fù)載平衡算法等方法自動從應(yīng)用服務(wù)器機(jī)群中選擇應(yīng)用服務(wù)器，啟動硬件模擬平臺，運(yùn)行 并分析該惡意代碼，運(yùn)行結(jié)束后形成惡意代碼分析報(bào)告并返回給用戶。在這種方式下，可 以滿足用戶在各種條件下分析惡意代碼的需求，節(jié)約大量的人力物力，同時，本發(fā)明中所采 用的虛擬化平臺惡意軟件動態(tài)分析方法是近年來國際學(xué)術(shù)界研究的重要思路之一，具有分 析透明性好、分析粒度細(xì)、分析可控性高等優(yōu)點(diǎn)，對于惡意代碼分析準(zhǔn)確性提供了重要的保 障。
根據(jù)以上目的，本發(fā)明的具體方案為一種基于硬件模擬器的惡意代碼在線分析 方法，其步驟如下
I)用戶通過瀏覽器提交待分析惡意代碼樣本；
2)響應(yīng)服務(wù)器響應(yīng)用戶的提交請求，存儲待分析惡意代碼樣本，啟動應(yīng)用服務(wù) 器；
3)啟動后的應(yīng)用服務(wù)器將樣本運(yùn)行參數(shù)組織為配置文件；
4)應(yīng)用服務(wù)器按照配置文件將待分析惡意代碼樣本發(fā)送到對應(yīng)的鏡像系統(tǒng)中，然 后在硬件模擬器中加載鏡像系統(tǒng)并在鏡像系統(tǒng)中運(yùn)行惡意代碼樣本；
5)樣本運(yùn)行結(jié)束后應(yīng)用服務(wù)器生成樣本分析報(bào)告，并向響應(yīng)服務(wù)器發(fā)送完成信號。
在步驟2)中，所述被啟動的應(yīng)用服務(wù)器采用負(fù)載平衡方法選出。
所述負(fù)載平衡方法的步驟為
a)查找運(yùn)行樣本數(shù)最小的應(yīng)用服務(wù)器；
b)將a)步驟找到的應(yīng)用服務(wù)器的樣本數(shù)與應(yīng)用服務(wù)器的運(yùn)行閾值比較；
c)選擇應(yīng)用服務(wù)器樣本數(shù)小于閾值的應(yīng)用服務(wù)器啟動。
所述鏡像系統(tǒng)的版本和存放樣本的具體目錄由配置文件確定。
所述的樣本運(yùn)行參數(shù)由用戶提交或按缺省值進(jìn)行配置。
通過下述方法執(zhí)行步驟4)
a)將待分析惡意代碼樣本發(fā)送到鏡像系統(tǒng)中，鏡像系統(tǒng)的系統(tǒng)版本、以及存放樣 本的具體目錄由樣本運(yùn)行參數(shù)指定；
b)將配置文件存儲到a)步驟中所述的鏡像系統(tǒng)C盤根目錄；
c)啟動硬件模擬器，加載a)步驟中所述的鏡像，在鏡像系統(tǒng)中運(yùn)行惡意代碼樣 本；
d)硬件模擬器監(jiān)控惡意代碼樣本的運(yùn)行。
硬件模擬器監(jiān)控惡意代碼樣本的運(yùn)行是指硬件模擬器在樣本運(yùn)行過程中記錄樣 本運(yùn)行信息包括調(diào)用的系統(tǒng)AP1、啟動的進(jìn)程和線程及加載的模塊。硬件模擬器監(jiān)控到的這 些信息經(jīng)過條理化就形成了樣本分析報(bào)告。
所述樣本分析報(bào)告包括惡意代碼調(diào)用的系統(tǒng)API信息，啟動的進(jìn)程和線程信息以 及加載的模塊信息。
所述惡意代碼調(diào)用系統(tǒng)API的信息包括API的調(diào)用時間、傳入?yún)?shù)、傳出參數(shù)和返 回值。
樣本啟動的進(jìn)程、線程包括樣本啟動的線程、子進(jìn)程。
加載的模塊信息包括加載的模塊的創(chuàng)建與銷毀信息。
本發(fā)明還提供一種惡意代碼在線分析系統(tǒng)，包括響應(yīng)服務(wù)器，數(shù)據(jù)庫服務(wù)器，文件 服務(wù)器和至少一臺應(yīng)用服務(wù)器，所述應(yīng)用服務(wù)器上包括硬件模擬器；響應(yīng)服務(wù)器響應(yīng)用戶 提交待分析惡意代碼樣本的請求；數(shù)據(jù)庫服務(wù)器存儲待分析惡意代碼樣本的運(yùn)行參數(shù)；文 件服務(wù)器存儲待分析惡意代碼樣本，應(yīng)用服務(wù)器中的硬件模擬器運(yùn)行待分析惡意代碼樣本 并進(jìn)行分析。
所述應(yīng)用服務(wù)器上包括數(shù)據(jù)庫操作模塊、通信模塊、文件操作模塊、操作員模塊和 樣本啟動模塊，數(shù)據(jù)庫操作模塊負(fù)責(zé)在數(shù)據(jù)庫服務(wù)器中讀取和更新樣本運(yùn)行參數(shù)，文件操 作模塊負(fù)責(zé)在文件服務(wù)器中讀取待分析惡意代碼樣本和上傳樣本分析報(bào)告；通信模塊接 收和反饋響應(yīng)服務(wù)器的信號，并將樣本運(yùn)行參數(shù)和待分析惡意代碼樣本發(fā)送到操作員模塊 上，操作員模塊控制硬件模擬器的啟動、運(yùn)行和結(jié)束，樣本啟動模塊負(fù)責(zé)啟動待分析惡意代 碼樣本并按照樣本運(yùn)行參數(shù)要求為樣本模擬運(yùn)行環(huán)境。
樣本啟動模塊運(yùn)行于硬件模擬器加載的鏡像系統(tǒng)中。
與現(xiàn)有技術(shù)相比，本發(fā)明的優(yōu)點(diǎn)在于
提供惡意代碼在線分析服務(wù)，分析過程全自動化，極大地改善了惡意代碼分析的 便攜性與效率性，使得用戶只需要在接入互聯(lián)網(wǎng)情況下就可以滿足分析惡意代碼機(jī)理的需 求，而不需要配備高性能專業(yè)性分析系統(tǒng)，同時后臺應(yīng)用服務(wù)器使用硬件模擬器技術(shù)，在硬 件模擬器環(huán)境下惡意代碼運(yùn)行全過程一覽無余，全面記錄惡意代碼的真實(shí)運(yùn)行行為，包括 調(diào)用系統(tǒng)API信息包括API的調(diào)用時間、傳入?yún)?shù)、傳出參數(shù)、返回值等和樣本進(jìn)程、模塊的 創(chuàng)建與銷毀等信息，提供完善的信息供后續(xù)的特征提取，同時硬件模擬器技術(shù)的特性保證 了在運(yùn)行惡意代碼樣本后系統(tǒng)不會被樣本的惡意行為所危害，很好地保護(hù)了系統(tǒng)的一致性 和可用性。


圖1為基于硬件模擬器的惡意代碼在線分析系統(tǒng)總體結(jié)構(gòu)圖2為基于硬件模擬器的惡意代碼在線分析方法的流程圖3為基于硬件模擬器的惡意代碼在線分析系統(tǒng)中的模塊關(guān)系圖4為負(fù)載平衡方法的流程圖。
具體實(shí)施方式
下面詳細(xì)說明本發(fā)明的技術(shù)方案
本發(fā)明的惡意代碼在線分析系統(tǒng)如圖1所示由3大部分組成，分別是用戶、服務(wù) 器、應(yīng)用服務(wù)器集群，其中服務(wù)器包括響應(yīng)服務(wù)器、文件服務(wù)器和數(shù)據(jù)庫服務(wù)器，響應(yīng)服務(wù) 器響應(yīng)用戶的請求，將待分析惡意代碼樣本和樣本運(yùn)行參數(shù)(即圖中的樣本信息)分別發(fā)送到文件服務(wù)器和數(shù)據(jù)庫服務(wù)器中存儲，并將樣本和運(yùn)行參數(shù)提取后分發(fā)到應(yīng)用服務(wù)器。 數(shù)據(jù)庫服務(wù)器存儲樣本運(yùn)行參數(shù)，文件服務(wù)器存儲待分析惡意代碼樣本。
圖2和圖3具體顯示了惡意代碼的在線分析方法
I)用戶可以從瀏覽器端上傳樣本文件及其樣本運(yùn)行參數(shù)，當(dāng)樣本運(yùn)行不需要特殊參數(shù)時，用戶也可以不提交樣本運(yùn)行參數(shù)；
2)服務(wù)器由響應(yīng)服務(wù)器、數(shù)據(jù)庫服務(wù)器和文件服務(wù)器組成，其中響應(yīng)服務(wù)器負(fù)責(zé)響應(yīng)用戶請求、存儲樣本和樣本運(yùn)行參數(shù)、分發(fā)提交樣本到應(yīng)用服務(wù)器；
3)應(yīng)用服務(wù)器至少為一臺，在本實(shí)施例中為應(yīng)用服務(wù)器集群，應(yīng)用服務(wù)器主要負(fù)責(zé)提供惡意代碼分析服務(wù)。應(yīng)用服務(wù)器端主要由5個模塊組成，分別是Launcher模塊(樣本啟動模塊)、通信模塊、SQL操作模塊(數(shù)據(jù)庫操作模塊)、文件操作模塊和Operator模塊(操作員模塊)。應(yīng)用服務(wù)器還包括硬件模擬器，硬件模擬器加載鏡像系統(tǒng)并在鏡像系統(tǒng)中運(yùn)行待分析惡意代碼樣本。
a) Launcher模塊運(yùn)行在Guest OS (鏡像系統(tǒng))中，功能是啟動樣本并按照樣本運(yùn)行參數(shù)要求為樣本模擬運(yùn)行環(huán)境。除了 Launcher模塊，其余四個模塊均運(yùn)行在Host OS(宿王系統(tǒng))中；
b)通信模塊負(fù)責(zé)等待、執(zhí)行響應(yīng)服務(wù)器發(fā)來的命令，并向響應(yīng)服務(wù)器反饋執(zhí)行結(jié)果;
c) SQL操作模塊負(fù)責(zé)從數(shù)據(jù)庫中獲取和更新數(shù)據(jù)庫中樣本運(yùn)行參數(shù)；
d)文件操作模塊負(fù)責(zé)從文件服務(wù)器中獲取待分析惡意代碼樣本，以及向文件服務(wù)器中上傳樣本處理結(jié)果分析報(bào)告文件；
e) Operator模塊負(fù)責(zé)啟動、操作和結(jié)束硬件模擬器。
具體實(shí)現(xiàn)方式如下
I)用戶提交待分析樣本
由用戶從瀏覽器端提交待分析惡意代碼樣本可以同時提交樣本運(yùn)行需要的參數(shù)， 如用戶不提交運(yùn)行參數(shù)，則系統(tǒng)以缺省參數(shù)啟動樣本。此處參數(shù)的選擇建立在觀察大量惡意代碼運(yùn)行參數(shù)基礎(chǔ)上，包括系統(tǒng)類別、樣本運(yùn)行前存放的位置、系統(tǒng)啟動后的樣本運(yùn)行延時、啟動樣本的父進(jìn)程等，如表I所示
表I樣本運(yùn)行參數(shù)表
序號名稱備注缺省值Iimage Version鏡像系統(tǒng)版本，Windows xp Pro spl, Windows xp Pro sp2. Windows xp Pro sp3Windows xp Pro sp22parentProcess運(yùn)行該樣本所需父進(jìn)程名Launcher.exe3argument樣本運(yùn)行啟動參數(shù)無4targetPath樣本要求系統(tǒng)存儲路徑C:\tmp5delay運(yùn)行延時0秒
本發(fā)明采用響應(yīng)服務(wù)器接收用戶提交的樣本，并可接收用戶指定的樣本運(yùn)行參數(shù)，以實(shí)現(xiàn)在指定運(yùn)行參數(shù)下的惡意代碼分析功能。
2)響應(yīng)用戶請求并平衡負(fù)載
本發(fā)明構(gòu)建數(shù)據(jù)庫存儲惡意代碼樣本以及運(yùn)行參數(shù)。響應(yīng)服務(wù)器對用戶的提交請求響應(yīng)，將惡意代碼樣本以及運(yùn)行參數(shù)存儲到數(shù)據(jù)庫中，供應(yīng)用服務(wù)器及響應(yīng)服務(wù)器獲取。
本發(fā)明采用負(fù)載平衡方法，自動選擇應(yīng)用服務(wù)器。負(fù)載平衡方法如圖4所示，由系統(tǒng)維護(hù)的應(yīng)用服務(wù)器信息列表L中選取負(fù)載最輕的應(yīng)用服務(wù)器S，本發(fā)明中的服務(wù)器信息包括服務(wù)器IP地址、在運(yùn)行樣本數(shù)目η、運(yùn)行樣本ID和運(yùn)行樣本數(shù)目閾值。
如果負(fù)載最輕的服務(wù)器S未達(dá)到負(fù)載極限，發(fā)送啟動分析信息到該服務(wù)器S，并更新服務(wù)器信息；否則返回服務(wù)器忙的信息稍后再重試。通過該負(fù)載平衡方法，響應(yīng)服務(wù)器選擇空閑的應(yīng)用服務(wù)器發(fā)送啟動分析命令，由此實(shí)現(xiàn)應(yīng)用服務(wù)器資源的合理配置。
SAMPLE
3)獲取樣本信息應(yīng)用服務(wù)器S收到啟動命令后，從數(shù)據(jù)庫服務(wù)器取出樣本環(huán)境配置參數(shù)組織為結(jié)構(gòu)，并從文件服務(wù)器取出待分析樣本文件。本發(fā)明中SAMPLE結(jié)構(gòu)定義如下typedef struct —SAMPLE一 {charszSampleID[8]; Il 樣本唯一標(biāo)識符 charszRemoteFileName[256]; Il 樣本名稱Il實(shí)時處理狀態(tài) //系統(tǒng)版本要求 //父進(jìn)程名稱 //運(yùn)行參數(shù)Il特定運(yùn)行路徑 //運(yùn)行延時 charszStatus[8]; charszImageVerson[32]; charszPProcName[256]; charszArgs[256]; char szRemotePath [256]; charszDelay[256];} SAMPLE, *PSAMPLE, **PPSAMPLE;
4)自動配置樣本運(yùn)行環(huán)境
本發(fā)明通過將步驟3所述的SAMPLE結(jié)構(gòu)體組織成Config配置文件協(xié)助樣本運(yùn)行環(huán)境的自動配置。本發(fā)明中的Config配置文件包括樣本唯一標(biāo)識符、樣本名稱、實(shí)時處理狀態(tài)、系統(tǒng)版本要求、父進(jìn)程名稱、運(yùn)行參數(shù)、特定存儲路徑和運(yùn)行延時等。通過構(gòu)建Config 配置文件，靈活地滿足樣本的各種運(yùn)行環(huán)境需求。
調(diào)用操作員(Operator)模塊按照步驟3所述Config配置文件的要求將樣本文件放入硬件模擬器鏡像的指定目錄，啟動硬件模擬器，加載鏡像系統(tǒng)，發(fā)送監(jiān)控命令，硬件模擬器開始監(jiān)控鏡像系統(tǒng)運(yùn)行。由此實(shí)現(xiàn)樣本運(yùn)行的系統(tǒng)環(huán)境的搭建；
5)自動啟動待分析樣本
完成如第4步所述的環(huán)境搭建后，本發(fā)明中的樣本自啟動是通過構(gòu)建Launcher模塊完成的，由Launcher讀取Config配置文件,然后按照Config中的內(nèi)容來啟動樣本,運(yùn)行要求包括父進(jìn)程、運(yùn)行延時、運(yùn)行參數(shù)等。構(gòu)造Launcher實(shí)現(xiàn)啟動的優(yōu)勢是Launcher可以完成樣本之間關(guān)聯(lián)性較強(qiáng)的樣本啟動工作，由此可滿足多個樣本復(fù)合運(yùn)行的需求。本發(fā)明中惡意代碼運(yùn)行過程中由基于硬件模擬器的惡意代碼分析平臺全程監(jiān)控其運(yùn)行，運(yùn)行結(jié)束后生成分析報(bào)表，本發(fā)明中的報(bào)表包括調(diào)用系統(tǒng)API信息包括API的調(diào)用時間、傳入?yún)?shù)、傳出參數(shù)、返回值等和樣本進(jìn)程、模塊創(chuàng)建和銷毀信息等；
6)結(jié)束分析平臺并反饋完成情況
分析平臺運(yùn)行完畢后，再次調(diào)用操作員(Operator)模塊結(jié)束分析平臺運(yùn)行，并由 操作員(Operator)模塊向響應(yīng)服務(wù)器發(fā)回完成信號，并將報(bào)告?zhèn)骰匚募?wù)器。完成信號 如CMD結(jié)構(gòu)所示
typedef struct 一CMD— {char szSampleID[8]; Il 樣本唯一標(biāo)識符char szStatus[8]; //完成狀態(tài)，包括正常完成，超時退出，錯誤等等。} CMD, *PCMD, **PPCMD;
上述步驟完全自動化，完成以上步驟后，用戶便可在運(yùn)行完成的第一時間查看分 析樣本的分析報(bào)告，通過樣本運(yùn)行時調(diào)用系統(tǒng)API信息包括API的調(diào)用時間、傳入?yún)?shù)、傳 出參數(shù)、返回值等和樣本進(jìn)程、模塊創(chuàng)建和銷毀信息了解其運(yùn)行機(jī)理、關(guān)鍵操作特性等。
權(quán)利要求
1.一種基于硬件模擬器的惡意代碼在線分析方法，包括如下步驟1)用戶通過瀏覽器提交待分析惡意代碼樣本；2)響應(yīng)服務(wù)器響應(yīng)用戶的提交請求，存儲待分析惡意代碼樣本，啟動應(yīng)用服務(wù)器；3)啟動后的應(yīng)用服務(wù)器將樣本運(yùn)行參數(shù)組織為配置文件；4)應(yīng)用服務(wù)器按照配置文件將待分析惡意代碼樣本發(fā)送到對應(yīng)的鏡像系統(tǒng)中，然后在硬件模擬器中加載鏡像系統(tǒng)并在鏡像系統(tǒng)中運(yùn)行惡意代碼樣本；5)樣本運(yùn)行結(jié)束后應(yīng)用服務(wù)器生成樣本分析報(bào)告，并向響應(yīng)服務(wù)器發(fā)送完成信號。
2.根據(jù)權(quán)利要求1所述的基于硬件模擬器的惡意代碼在線分析方法，其特征在于，在步驟2)中，所述被啟動的應(yīng)用服務(wù)器采用負(fù)載平衡方法選出。
3.根據(jù)權(quán)利要求2所述的基于硬件模擬器的惡意代碼在線分析方法，其特征在于，所述負(fù)載平衡方法的步驟為a)查找運(yùn)行樣本數(shù)最小的應(yīng)用服務(wù)器；b)將a)步驟找到的應(yīng)用服務(wù)器的樣本數(shù)與應(yīng)用服務(wù)器的運(yùn)行閾值比較；c)應(yīng)用服務(wù)器的樣本數(shù)小于運(yùn)行閾值時啟動該應(yīng)用服務(wù)器。
4.根據(jù)權(quán)利要求1所述的基于硬件模擬器的惡意代碼在線分析方法，其特征在于，所述的樣本運(yùn)行參數(shù)由用戶提交或按缺省值進(jìn)行配置。
5.根據(jù)權(quán)利要求1所述的基于硬件模擬器的惡意代碼在線分析方法，其特征在于，所述樣本分析報(bào)告包括惡意代碼調(diào)用的系統(tǒng)API信息，啟動的進(jìn)程和線程信息，和加載的模塊信息。
6.根據(jù)權(quán)利要求5所述的基于硬件模擬器的惡意代碼在線分析方法，其特征在于，所述惡意代碼調(diào)用系統(tǒng)API的信息包括API的調(diào)用時間、傳入?yún)?shù)、傳出參數(shù)和返回值。
7.根據(jù)權(quán)利要求5所述的基于硬件模擬器的惡意代碼在線分析方法，其特征在于，所述加載的模塊信息包括模塊的創(chuàng)建與銷毀信息。
8.—種惡意代碼在線分析系統(tǒng)，其特征在于，包括響應(yīng)服務(wù)器，數(shù)據(jù)庫服務(wù)器，文件服務(wù)器和至少一臺應(yīng)用服務(wù)器，所述應(yīng)用服務(wù)器上包括硬件模擬器；響應(yīng)服務(wù)器響應(yīng)用戶提交待分析惡意代碼樣本的請求；數(shù)據(jù)庫服務(wù)器存儲待分析惡意代碼樣本的運(yùn)行參數(shù)；文件服務(wù)器存儲待分析惡意代碼樣本，應(yīng)用服務(wù)器中的硬件模擬器運(yùn)行待分析惡意代碼樣本并進(jìn)行分析。
9.根據(jù)權(quán)利要求8所述的惡意代碼在線分析系統(tǒng)，其特征在于，所述應(yīng)用服務(wù)器上包括數(shù)據(jù)庫操作模塊、通信模塊、文件操作模塊、操作員模塊和樣本啟動模塊，數(shù)據(jù)庫操作模塊從數(shù)據(jù)庫服務(wù)器中讀取和更新待分析惡意代碼樣本，文件操作模塊從文件服務(wù)器中讀取樣本運(yùn)行參數(shù)和上傳樣本分析報(bào)告；通信模塊接收和反饋響應(yīng)服務(wù)器的信號，并將樣本運(yùn)行參數(shù)和待分析惡意代碼樣本發(fā)送到操作員模塊上；操作員模塊控制硬件模擬器的啟動、 運(yùn)行和結(jié)束，樣本啟動模塊啟動待分析惡意代碼樣本并按照樣本運(yùn)行參數(shù)為樣本模擬運(yùn)行環(huán)境。
10.根據(jù)權(quán)利要求9所述的惡意代碼在線分析系統(tǒng)，其特征在于，所述樣本啟動模塊運(yùn)行于硬件模擬器加載的鏡像系統(tǒng)中。
全文摘要
本發(fā)明公開了一種基于硬件模擬器的惡意代碼在線分析方法及系統(tǒng)，分析方法如下1)用戶通過瀏覽器提交待分析惡意代碼樣本；2)響應(yīng)服務(wù)器響應(yīng)用戶的提交請求，存儲待分析惡意代碼樣本，啟動應(yīng)用服務(wù)器；3)啟動后的應(yīng)用服務(wù)器將樣本運(yùn)行參數(shù)組織為配置文件；4)應(yīng)用服務(wù)器按照配置文件將待分析惡意代碼樣本發(fā)送到對應(yīng)的鏡像系統(tǒng)中，然后在硬件模擬器中加載鏡像系統(tǒng)并在鏡像系統(tǒng)中運(yùn)行惡意代碼樣本；5)樣本運(yùn)行結(jié)束后應(yīng)用服務(wù)器生成樣本分析報(bào)告。本發(fā)明的系統(tǒng)包括響應(yīng)服務(wù)器，數(shù)據(jù)庫服務(wù)器，文件服務(wù)器和至少一臺應(yīng)用服務(wù)器，所述應(yīng)用服務(wù)器上包括硬件模擬器。本發(fā)明過程全自動化，極大地改善了惡意代碼分析的便攜性與效率性。
文檔編號G06F21/56GK102999719SQ201110278249
公開日2013年3月27日 申請日期2011年9月19日 優(yōu)先權(quán)日2011年9月19日
發(fā)明者程瑤, 王蕊, 蘇璞睿, 馮登國, 楊軼, 聶眉寧 申請人:中國科學(xué)院軟件研究所