基于動(dòng)態(tài)沙箱環(huán)境的惡意代碼分析方法及系統(tǒng)的制作方法
【專利摘要】本發(fā)明提供了一種基于動(dòng)態(tài)沙箱環(huán)境的惡意代碼分析方法及系統(tǒng)��,包括:將惡意代碼投放到帶有監(jiān)控的虛擬機(jī)中�;運(yùn)行并監(jiān)控所述惡意代碼,獲得與系統(tǒng)核心資源相關(guān)的進(jìn)程調(diào)用和字符串信息�����;判斷系統(tǒng)核心資源規(guī)則庫中是否包含所述進(jìn)程調(diào)用和字符串信息�,如果是,則模擬對(duì)應(yīng)系統(tǒng)核心資源����,否則丟棄所述進(jìn)程調(diào)用和字符串信息;判斷惡意代碼是否執(zhí)行完畢�,如果是�����,則捕獲動(dòng)態(tài)模擬后的惡意代碼信息記錄����,否則繼續(xù)監(jiān)控所述惡意代碼�����。通過本發(fā)明的方法��,能夠根據(jù)惡意代碼運(yùn)行需要��,動(dòng)態(tài)模擬滿足惡意代碼分析需求����,并減少資源耗費(fèi),達(dá)到高性價(jià)比獲取惡意代碼行為信息����。
【專利說明】基于動(dòng)態(tài)沙箱環(huán)境的惡意代碼分析方法及系統(tǒng)
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及計(jì)算機(jī)網(wǎng)絡(luò)安全【技術(shù)領(lǐng)域】����,尤其涉及一種基于動(dòng)態(tài)沙箱環(huán)境的惡意代碼分析方法及系統(tǒng)�。
【背景技術(shù)】
[0002]現(xiàn)有惡意代碼分析方法中���,采用沙箱分析惡意代碼已經(jīng)成為目前對(duì)惡意代碼進(jìn)行動(dòng)態(tài)判斷的一個(gè)主要手段����,其中對(duì)惡意代碼依賴環(huán)境的模擬方式主要是通過預(yù)先準(zhǔn)備環(huán)境���,或者進(jìn)行全分支回溯����。預(yù)先準(zhǔn)備環(huán)境的方式���,經(jīng)常很難滿足惡意代碼分析需要�����,一方面可能準(zhǔn)備的環(huán)境惡意代碼樣本不需要�����,另一方面如果準(zhǔn)備的環(huán)境過多���,例如進(jìn)程����、窗口等�,則會(huì)耗費(fèi)大量資源。而全分支回溯方式則導(dǎo)致分支指數(shù)級(jí)別增長����,基本是時(shí)間超長,條件太多導(dǎo)致NP問題�。如果只返回調(diào)用的API條件的真假,則后續(xù)動(dòng)作比如注入進(jìn)程的注入代碼的行為則無法發(fā)現(xiàn)����,再如查找特定程序目錄返回成功,但目錄不存在則無法寫入��,引發(fā)程序崩潰��,另外利用回溯進(jìn)行無限的分支嘗試輸入����,將導(dǎo)致程序分析陷入超長時(shí)間,同時(shí)很多分支無法預(yù)測(cè)��,是分析稍微復(fù)雜的程序變得不可行����。
【發(fā)明內(nèi)容】
[0003]本發(fā)明提供了一種基于動(dòng)態(tài)沙箱環(huán)境的惡意代碼分析方法,解決了預(yù)先準(zhǔn)備環(huán)境或全分支回溯導(dǎo)致耗費(fèi)系統(tǒng)資源��,惡意代碼分析不徹底等問題��,能夠動(dòng)態(tài)滿足惡意代碼需求�����,并減少資源耗費(fèi)���。
[0004]一種基于動(dòng)態(tài)沙箱環(huán)境的惡意代碼分析方法�,包括:
將惡意代碼投放到帶有監(jiān)控的虛擬機(jī)中��;
運(yùn)行并監(jiān)控所述惡意代碼����,獲得與系統(tǒng)核心資源相關(guān)的進(jìn)程調(diào)用和字符串信息;
判斷系統(tǒng)核心資源規(guī)則庫中是否包含所述進(jìn)程調(diào)用和字符串信息���,如果是����,則模擬對(duì)應(yīng)系統(tǒng)核心資源,否則丟棄所述進(jìn)程調(diào)用和字符串信息���;
判斷惡意代碼是否執(zhí)行完畢��,如果是�,則捕獲動(dòng)態(tài)模擬后的惡意代碼信息記錄�����,否則繼續(xù)監(jiān)控所述惡意代碼���。循環(huán)進(jìn)行監(jiān)控和判斷�����,直到惡意代碼運(yùn)行完成�����。
[0005]所述的方法中���,預(yù)先建立系統(tǒng)核心資源規(guī)則庫,所述系統(tǒng)核心資源規(guī)則庫至少包括進(jìn)程調(diào)用和字符串信息對(duì)應(yīng)的進(jìn)程、窗口���、網(wǎng)絡(luò)�����、注冊(cè)表、移動(dòng)磁盤���、系統(tǒng)目錄文件����。
[0006]一種基于動(dòng)態(tài)沙箱環(huán)境的惡意代碼分析系統(tǒng)�����,包括:
分發(fā)模塊�����,用于將惡意代碼投放到帶有監(jiān)控的虛擬機(jī)中��;
執(zhí)行模塊���,用于運(yùn)行并監(jiān)控所述惡意代碼�����,獲得與系統(tǒng)核心資源相關(guān)的進(jìn)程調(diào)用和字符串信息����;
第一判斷模塊,用于判斷系統(tǒng)核心資源規(guī)則庫中是否包含所述進(jìn)程調(diào)用和字符串信息��,如果是�,則模擬對(duì)應(yīng)系統(tǒng)資源,否則丟棄所述進(jìn)程調(diào)用和字符串信息�����;
第二判斷模塊����,用于判斷惡意代碼是否執(zhí)行完畢,如果是��,則捕獲動(dòng)態(tài)模擬后的惡意代碼信息記錄��,否則執(zhí)行模塊繼續(xù)監(jiān)控所述惡意代碼��。[0007]所述的系統(tǒng)中,預(yù)先建立系統(tǒng)核心資源規(guī)則庫��,所述系統(tǒng)核心資源規(guī)則庫至少包括進(jìn)程調(diào)用和字符串信息對(duì)應(yīng)的進(jìn)程���、窗口��、網(wǎng)絡(luò)�、注冊(cè)表�、移動(dòng)磁盤�����、系統(tǒng)目錄文件�。
[0008]本發(fā)明方法及系統(tǒng)的優(yōu)勢(shì)在于能夠根據(jù)惡意代碼行為需要,動(dòng)態(tài)模擬滿足系統(tǒng)核心資源���,激發(fā)惡意代碼重要分支行為�����,能夠在短時(shí)間達(dá)到捕獲效果�����,減少資源耗費(fèi)���,并且捕獲效果好�����,能夠深度誘發(fā)進(jìn)一步的惡意行為����。
[0009]本發(fā)明提供了一種基于動(dòng)態(tài)沙箱環(huán)境的惡意代碼分析方法及系統(tǒng)�����,包括:將惡意代碼投放到帶有監(jiān)控的虛擬機(jī)中�;運(yùn)行并監(jiān)控所述惡意代碼,獲得與系統(tǒng)核心資源相關(guān)的進(jìn)程調(diào)用和字符串信息�����;判斷系統(tǒng)核心資源規(guī)則庫中是否包含所述進(jìn)程調(diào)用和字符串信息��,如果是�,則模擬對(duì)應(yīng)系統(tǒng)核心資源,否則丟棄所述進(jìn)程調(diào)用和字符串信息�;判斷惡意代碼是否執(zhí)行完畢����,如果是�����,則捕獲動(dòng)態(tài)模擬后的惡意代碼信息記錄�����,否則繼續(xù)監(jiān)控所述惡意代碼�����。通過本發(fā)明的方法���,能夠根據(jù)惡意代碼運(yùn)行需要,動(dòng)態(tài)模擬滿足惡意代碼分析需求�,并減少資源耗費(fèi),達(dá)到高性價(jià)比獲取惡意代碼行為信息���。
【專利附圖】
【附圖說明】
[0010]為了更清楚地說明本發(fā)明或現(xiàn)有技術(shù)中的技術(shù)方案���,下面將對(duì)實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹�,顯而易見地���,下面描述中的附圖僅僅是本發(fā)明中記載的一些實(shí)施例�����,對(duì)于本領(lǐng)域普通技術(shù)人員來講���,在不付出創(chuàng)造性勞動(dòng)的前提下,還可以根據(jù)這些附圖獲得其他的附圖���。
[0011]圖1為本發(fā)明一種基于動(dòng)態(tài)沙箱環(huán)境的惡意代碼分析方法流程圖��;
圖2為本發(fā)明一種基于動(dòng)態(tài)沙箱環(huán)境的惡意代碼分析系統(tǒng)結(jié)構(gòu)示意圖����。
【具體實(shí)施方式】
[0012]為了使本【技術(shù)領(lǐng)域】的人員更好地理解本發(fā)明實(shí)施例中的技術(shù)方案��,并使本發(fā)明的上述目的��、特征和優(yōu)點(diǎn)能夠更加明顯易懂��,下面結(jié)合附圖對(duì)本發(fā)明中技術(shù)方案作進(jìn)一步詳細(xì)的說明���。
[0013]本發(fā)明提供了一種基于動(dòng)態(tài)沙箱環(huán)境的惡意代碼分析方法��,解決了預(yù)先準(zhǔn)備環(huán)境或全分支回溯導(dǎo)致耗費(fèi)系統(tǒng)資源�,惡意代碼分析不徹底等問題,能夠動(dòng)態(tài)滿足惡意代碼需求�����,并減少資源耗費(fèi)�����。
[0014]一種基于動(dòng)態(tài)沙箱環(huán)境的惡意代碼分析方法����,如圖1所示,包括:
5101:將惡意代碼投放到帶有監(jiān)控的虛擬機(jī)中�;
5102:運(yùn)行并監(jiān)控所述惡意代碼�����,獲得與系統(tǒng)核心資源相關(guān)的進(jìn)程調(diào)用和字符串信
息����;
5103:判斷系統(tǒng)核心資源規(guī)則庫中是否包含所述進(jìn)程調(diào)用和字符串信息���,如果是,則執(zhí)行S104�����,否則丟棄所述進(jìn)程調(diào)用和字符串信息���;
5104:模擬對(duì)應(yīng)系統(tǒng)核心資源����;
5105:判斷惡意代碼是否執(zhí)行完畢�����,如果是���,則捕獲動(dòng)態(tài)模擬后的惡意代碼信息記錄���,否則返回S102,繼續(xù)監(jiān)控所述惡意代碼�����。循環(huán)進(jìn)行監(jiān)控和判斷,直到惡意代碼運(yùn)行完成���。
[0015]所述的方法中���,預(yù)先建立系統(tǒng)核心資源規(guī)則庫,所述系統(tǒng)核心資源規(guī)則庫至少包括進(jìn)程調(diào)用和字符串信息對(duì)應(yīng)的進(jìn)程�����、窗口�、網(wǎng)絡(luò)、注冊(cè)表����、移動(dòng)磁盤、系統(tǒng)目錄文件���。[0016]一種基于動(dòng)態(tài)沙箱環(huán)境的惡意代碼分析系統(tǒng)�,如圖2所示�,包括:
分發(fā)模塊201�,用于將惡意代碼投放到帶有監(jiān)控的虛擬機(jī)中;
執(zhí)行模塊202�����,用于運(yùn)行并監(jiān)控所述惡意代碼,獲得與系統(tǒng)核心資源相關(guān)的進(jìn)程調(diào)用和字符串信息�����;
第一判斷模塊203�����,用于判斷系統(tǒng)核心資源規(guī)則庫中是否包含所述進(jìn)程調(diào)用和字符串信息�,如果是,則模擬對(duì)應(yīng)系統(tǒng)資源�,否則丟棄所述進(jìn)程調(diào)用和字符串信息;
第二判斷模塊204���,用于判斷惡意代碼是否執(zhí)行完畢���,如果是,則捕獲動(dòng)態(tài)模擬后的惡意代碼信息記錄���,否則執(zhí)行模塊繼續(xù)監(jiān)控所述惡意代碼�。
[0017]所述的系統(tǒng)中,預(yù)先建立系統(tǒng)核心資源規(guī)則庫��,所述系統(tǒng)核心資源規(guī)則庫至少包括進(jìn)程調(diào)用和字符串信息對(duì)應(yīng)的進(jìn)程����、窗口、網(wǎng)絡(luò)�����、注冊(cè)表����、移動(dòng)磁盤、系統(tǒng)目錄文件�。
[0018]本發(fā)明方法及系統(tǒng)的優(yōu)勢(shì)在于能夠根據(jù)惡意代碼行為需要���,動(dòng)態(tài)模擬滿足系統(tǒng)核心資源�����,激發(fā)惡意代碼重要分支行為,能夠在短時(shí)間達(dá)到捕獲效果���,減少資源耗費(fèi),并且捕獲效果好�����,能夠深度誘發(fā)進(jìn)一步的惡意行為��。
[0019]本發(fā)明提供了一種基于動(dòng)態(tài)沙箱環(huán)境的惡意代碼分析方法及系統(tǒng),包括:將惡意代碼投放到帶有監(jiān)控的虛擬機(jī)中����;運(yùn)行并監(jiān)控所述惡意代碼��,獲得與系統(tǒng)核心資源相關(guān)的進(jìn)程調(diào)用和字符串信息;判斷系統(tǒng)核心資源規(guī)則庫中是否包含所述進(jìn)程調(diào)用和字符串信息���,如果是,則模擬對(duì)應(yīng)系統(tǒng)核心資源�,否則丟棄所述進(jìn)程調(diào)用和字符串信息��;判斷惡意代碼是否執(zhí)行完畢�,如果是�����,則捕獲動(dòng)態(tài)模擬后的惡意代碼信息記錄�,否則繼續(xù)監(jiān)控所述惡意代碼�����。通過本發(fā)明的方法,能夠根據(jù)惡意代碼運(yùn)行需要��,動(dòng)態(tài)模擬滿足惡意代碼分析需求�,并減少資源耗費(fèi)�����,達(dá)到高性價(jià)比獲取惡意代碼行為信息�����。
[0020]雖然通過實(shí)施例描繪了本發(fā)明���,本領(lǐng)域普通技術(shù)人員知道,本發(fā)明有許多變形和變化而不脫離本發(fā)明的精神,希望所附的權(quán)利要求包括這些變形和變化而不脫離本發(fā)明的精神��。
【權(quán)利要求】
1.一種基于動(dòng)態(tài)沙箱環(huán)境的惡意代碼分析方法,其特征在于����,包括: 將惡意代碼投放到帶有監(jiān)控的虛擬機(jī)中�; 運(yùn)行并監(jiān)控所述惡意代碼�,獲得與系統(tǒng)核心資源相關(guān)的進(jìn)程調(diào)用和字符串信息����; 判斷系統(tǒng)核心資源規(guī)則庫中是否包含所述進(jìn)程調(diào)用和字符串信息�����,如果是����,則模擬對(duì)應(yīng)系統(tǒng)核心資源���,否則丟棄所述進(jìn)程調(diào)用和字符串信息; 判斷惡意代碼是否執(zhí)行完畢�����,如果是�,則捕獲動(dòng)態(tài)模擬后的惡意代碼信息記錄�,否則繼續(xù)監(jiān)控所述惡意代碼��。
2.如權(quán)利要求1所述的方法,其特征在于����,預(yù)先建立系統(tǒng)核心資源規(guī)則庫����,所述系統(tǒng)核心資源規(guī)則庫至少包括進(jìn)程調(diào)用和字符串信息對(duì)應(yīng)的進(jìn)程��、窗口��、網(wǎng)絡(luò)、注冊(cè)表����、移動(dòng)磁盤�、系統(tǒng)目錄文件��。
3.一種基于動(dòng)態(tài)沙箱環(huán)境的惡意代碼分析系統(tǒng)��,其特征在于�,包括: 分發(fā)模塊��,用于將惡意代碼投放到帶有監(jiān)控的虛擬機(jī)中�; 執(zhí)行模塊,用于運(yùn)行并監(jiān)控所述惡意代碼�����,獲得與系統(tǒng)核心資源相關(guān)的進(jìn)程調(diào)用和字符串信息; 第一判斷模塊�����,用于判斷系統(tǒng)核心資源規(guī)則庫中是否包含所述進(jìn)程調(diào)用和字符串信息�����,如果是�,則模擬對(duì)應(yīng)系統(tǒng)資源,否則丟棄所述進(jìn)程調(diào)用和字符串信息��; 第二判斷模塊�,用于判斷惡意代碼是否執(zhí)行完畢,如果是���,則捕獲動(dòng)態(tài)模擬后的惡意代碼信息記錄�,否則執(zhí)行模塊繼續(xù)監(jiān)控所述惡意代碼�。
4.如權(quán)利要求3所述的系統(tǒng),其特征在于��,預(yù)先建立系統(tǒng)核心資源規(guī)則庫�,所述系統(tǒng)核心資源規(guī)則庫至少包括進(jìn)程調(diào)用和字符串信息對(duì)應(yīng)的進(jìn)程����、窗口����、網(wǎng)絡(luò)、注冊(cè)表��、移動(dòng)磁盤�����、系統(tǒng)目錄文件����。
【文檔編號(hào)】G06F21/56GK103902903SQ201310557502
【公開日】2014年7月2日 申請(qǐng)日期:2013年11月12日 優(yōu)先權(quán)日:2013年11月12日
【發(fā)明者】云曉春, 徐小琳, 鄭禮雄, 高勝, 王 琦, 陳陽, 何能強(qiáng), 康學(xué)斌, 賀磊鋼, 張栗偉 申請(qǐng)人:國家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理中心, 哈爾濱安天科技股份有限公司