本發(fā)明屬于惡意代碼分析與檢測(cè)技術(shù)領(lǐng)域�����,具體涉及一種動(dòng)態(tài)鏈接庫(kù)形式的惡意代碼的動(dòng)態(tài)分析方法����。
背景技術(shù):
隨著社會(huì)的不斷發(fā)展和進(jìn)步,計(jì)算機(jī)和網(wǎng)絡(luò)已經(jīng)在社會(huì)各個(gè)領(lǐng)域廣泛應(yīng)用��,信息系統(tǒng)在人們的日常生活中扮演著越來(lái)越重要的角色�。與此同時(shí),惡意代碼攻擊帶來(lái)的危害也日益嚴(yán)重�����,模塊化、插件化的惡意代碼通常將真正執(zhí)行惡意行為的代碼以動(dòng)態(tài)鏈接庫(kù)的形式封裝起來(lái)�����,通過(guò)動(dòng)態(tài)下載�����、按需執(zhí)行的方式���,將惡意行為隱藏起來(lái),由于這些動(dòng)態(tài)鏈接庫(kù)形式的惡意代碼本身并不是完整的程序�,需要外部加載器、主程序的調(diào)用才能執(zhí)行并觸發(fā)相關(guān)惡意行為�����,但在實(shí)際環(huán)境中�����,由于主機(jī)環(huán)境�、網(wǎng)絡(luò)抓包還原問(wèn)題等各種原因,常常出現(xiàn)加載器����、主程序等調(diào)用者缺失�����,而只有動(dòng)態(tài)鏈接庫(kù)形式的惡意代碼模塊����、插件的情況�����,導(dǎo)致單獨(dú)分析這些動(dòng)態(tài)鏈接庫(kù)形式的惡意代碼較為困難�����。因此���,針對(duì)動(dòng)態(tài)鏈接庫(kù)形式的惡意代碼的分析技術(shù)和系統(tǒng)具有十分重要的作用和價(jià)值����。
當(dāng)前的動(dòng)態(tài)鏈接庫(kù)形式的惡意代碼檢測(cè)技術(shù)����,通常使用以下幾種方法:
1.對(duì)動(dòng)態(tài)鏈接庫(kù)文件進(jìn)行靜態(tài)二進(jìn)制掃描,對(duì)比惡意代碼特征庫(kù)中的已有惡意代碼特征,實(shí)現(xiàn)可執(zhí)行代碼檢測(cè)�。由于該方法只能針對(duì)已知惡意代碼進(jìn)行檢測(cè),而被檢測(cè)文件中的可執(zhí)行代碼通常會(huì)包含未知惡意代碼�����、變形惡意代碼�����、甚至特種惡意代碼��,并針對(duì)特定環(huán)境的軟件漏洞或0day漏洞進(jìn)行攻擊����,對(duì)于這種情況���,該方法的檢測(cè)能力不足���。
2.對(duì)動(dòng)態(tài)鏈接庫(kù)文件的加載過(guò)程進(jìn)行動(dòng)態(tài)調(diào)試,分析該過(guò)程中可能產(chǎn)生的異常�,實(shí)現(xiàn)可執(zhí)行代碼檢測(cè)。由于該方法不容易界定異常產(chǎn)生自動(dòng)態(tài)鏈接庫(kù)文件中的惡意可執(zhí)行代碼還是加載動(dòng)態(tài)鏈接庫(kù)文件的進(jìn)程本身����,加上分析過(guò)程需要大量專(zhuān)業(yè)的人工干預(yù)�,同時(shí)還需應(yīng)對(duì)動(dòng)態(tài)鏈接庫(kù)形式的可執(zhí)行代碼中可能包含的反調(diào)試技術(shù)�,因此實(shí)際操作難度較大,準(zhǔn)確度較低�����。
3.將動(dòng)態(tài)鏈接庫(kù)文件置入沙箱運(yùn)行��,動(dòng)態(tài)分析其運(yùn)行過(guò)程���,提取行為特征���,與行為白名單對(duì)比,實(shí)現(xiàn)可執(zhí)行代碼檢測(cè)��。由于動(dòng)態(tài)鏈接庫(kù)形式中可執(zhí)行代碼的觸發(fā)條件對(duì)運(yùn)行環(huán)境的依賴(lài)較高�,通常會(huì)需要調(diào)用不同依賴(lài)庫(kù)以支持其運(yùn)行,并且對(duì)未知?jiǎng)討B(tài)鏈接庫(kù)具體導(dǎo)出函數(shù)名及其相應(yīng)參數(shù)格式條件下的運(yùn)行分析十分困難�。因此,為提高分析準(zhǔn)確性�,需要準(zhǔn)備大量虛擬環(huán)境、進(jìn)行大量重復(fù)測(cè)試����,空間復(fù)雜度和時(shí)間復(fù)雜度較高�。
綜上所述���,目前針對(duì)動(dòng)態(tài)鏈接庫(kù)形式的惡意代碼的檢測(cè)方法���,其主要缺陷在于:針對(duì)未知攻擊代碼的分析和檢測(cè)能力不足、需要大量專(zhuān)業(yè)的人工分析干預(yù)�。
技術(shù)實(shí)現(xiàn)要素:
針對(duì)現(xiàn)有技術(shù)中存在的技術(shù)問(wèn)題,本發(fā)明的目的在于提供一種針對(duì)動(dòng)態(tài)鏈接庫(kù)形式的惡意代碼的動(dòng)態(tài)分析方法���。該方法首先對(duì)動(dòng)態(tài)鏈接庫(kù)文件進(jìn)行加載��,其次遍歷動(dòng)態(tài)鏈接庫(kù)里的導(dǎo)出函數(shù)�����,然后對(duì)動(dòng)態(tài)鏈接庫(kù)所包含的導(dǎo)出函數(shù)進(jìn)行調(diào)用,主動(dòng)觸發(fā)動(dòng)態(tài)鏈接庫(kù)中的各種行為��,最后在檢測(cè)系統(tǒng)中�,對(duì)樣本動(dòng)態(tài)鏈接庫(kù)形式的可執(zhí)行代碼行為進(jìn)行動(dòng)態(tài)分析檢測(cè)。
一種動(dòng)態(tài)鏈接庫(kù)形式的惡意代碼的分析方法��,其步驟如下:
1)解析待分析的動(dòng)態(tài)鏈接庫(kù)的配置文件,判斷配置文件中是否包含該動(dòng)態(tài)鏈接庫(kù)的導(dǎo)出函數(shù)名表以及各導(dǎo)出函數(shù)對(duì)應(yīng)的參數(shù)表��;
2)如是���,則對(duì)該動(dòng)態(tài)鏈接庫(kù)的各導(dǎo)出函數(shù)進(jìn)行遍歷調(diào)用���;
3)如否,則載入該動(dòng)態(tài)鏈接庫(kù)����,解析該動(dòng)態(tài)鏈接庫(kù)的結(jié)構(gòu),遍歷獲得其導(dǎo)出函數(shù)表����,并模擬各導(dǎo)出函數(shù)對(duì)應(yīng)的參數(shù)表后;再對(duì)該動(dòng)態(tài)鏈接庫(kù)中的各導(dǎo)出函數(shù)遍歷調(diào)用��;
4)分析步驟2)或步驟3)的函數(shù)調(diào)用運(yùn)行過(guò)程中是否有惡意攻擊行為�����。
進(jìn)一步地�,還包括在步驟1)之前,準(zhǔn)備待分析的動(dòng)態(tài)鏈接庫(kù)����,配置動(dòng)態(tài)分析過(guò)程所需的配置文件���;若已知?jiǎng)討B(tài)鏈接庫(kù)的數(shù)據(jù)構(gòu)成,則使配置文件中包含動(dòng)態(tài)鏈接庫(kù)的路徑����、導(dǎo)出函數(shù)表及各導(dǎo)出函數(shù)對(duì)應(yīng)的參數(shù)表;若未知?jiǎng)討B(tài)鏈接庫(kù)的數(shù)據(jù)構(gòu)成�,則使配置文件中的導(dǎo)出函數(shù)表信息為空。
進(jìn)一步地��,步驟2)對(duì)該動(dòng)態(tài)鏈接庫(kù)的各導(dǎo)出函數(shù)進(jìn)行遍歷調(diào)用包括:
收集配置文件中的導(dǎo)出函數(shù)名表以及各函數(shù)對(duì)應(yīng)參數(shù)表���,并輸入到包含整型導(dǎo)出函數(shù)地址���、參數(shù)數(shù)組的結(jié)構(gòu)體中存儲(chǔ),進(jìn)行函數(shù)調(diào)用�����。
進(jìn)一步地��,步驟3)中解析該動(dòng)態(tài)鏈接庫(kù)的結(jié)構(gòu)包括:根據(jù)動(dòng)態(tài)鏈接庫(kù)的pe文件結(jié)構(gòu)���,對(duì)動(dòng)態(tài)鏈接庫(kù)進(jìn)行解析���。
進(jìn)一步地,步驟3)中模擬各導(dǎo)出函數(shù)對(duì)應(yīng)的參數(shù)表包括:
根據(jù)動(dòng)態(tài)鏈接庫(kù)的pe文件結(jié)構(gòu)���,對(duì)動(dòng)態(tài)鏈接庫(kù)進(jìn)行分析��,遍歷獲得待分析動(dòng)態(tài)鏈接庫(kù)中的導(dǎo)出函數(shù)地址表���;
基于導(dǎo)出函數(shù)地址表,根據(jù)數(shù)字化特征�,由動(dòng)態(tài)分析方法提供模擬各導(dǎo)出函數(shù)相應(yīng)參數(shù)表的功能,模擬出各導(dǎo)出函數(shù)相應(yīng)的參數(shù)表����。
進(jìn)一步地,各導(dǎo)出函數(shù)的參數(shù)表中���,包括參數(shù)類(lèi)型有:整型數(shù)����、浮點(diǎn)數(shù)、指針���、指針嵌套以及指針函數(shù)�����。
進(jìn)一步地,模擬出各導(dǎo)出函數(shù)相應(yīng)的參數(shù)表過(guò)程中����,將所有類(lèi)型的參數(shù)均由雙字節(jié)的整型數(shù)表示,構(gòu)建整型數(shù)組�,并對(duì)數(shù)組進(jìn)行賦值����,使各數(shù)組元素值為其自身地址�����,以一通用數(shù)據(jù)結(jié)構(gòu)模擬所有類(lèi)型的參數(shù)���。
進(jìn)一步地��,將模擬出的包含所有類(lèi)型參數(shù)的參數(shù)表以及所屬導(dǎo)出函數(shù)地址表放入包含整型導(dǎo)出函數(shù)地址、參數(shù)數(shù)組的結(jié)構(gòu)體中存儲(chǔ)����。
進(jìn)一步地�,步驟4)中通過(guò)對(duì)函數(shù)調(diào)用運(yùn)行過(guò)程中執(zhí)行代碼引發(fā)的行為、運(yùn)行環(huán)境變化進(jìn)行分析比對(duì)���,分析動(dòng)態(tài)鏈接庫(kù)中是否有攻擊行為���,檢測(cè)動(dòng)態(tài)鏈接庫(kù)是否含有惡意代碼。
通過(guò)采取上述技術(shù)方案�,本發(fā)明在對(duì)未知?jiǎng)討B(tài)鏈接庫(kù)進(jìn)行分析時(shí),通過(guò)對(duì)動(dòng)態(tài)鏈接庫(kù)文件pe結(jié)構(gòu)的解析��,遍歷獲得導(dǎo)出函數(shù)表���。由此在調(diào)用動(dòng)態(tài)鏈接庫(kù)中的導(dǎo)出函數(shù)且被調(diào)用導(dǎo)出函數(shù)所需參數(shù)形式未知時(shí)�,可以模擬導(dǎo)出函數(shù)所需的參數(shù)�����,從而完成對(duì)導(dǎo)出函數(shù)的調(diào)用��,能夠完成對(duì)未知?jiǎng)討B(tài)鏈接庫(kù)形式的可執(zhí)行代碼的動(dòng)態(tài)分析��。通過(guò)參數(shù)模擬減少大量的人工分析干預(yù)各未知參數(shù)的時(shí)間,從而節(jié)約了人力成本��。
附圖說(shuō)明
圖1為本發(fā)明一種動(dòng)態(tài)鏈接庫(kù)形式的惡意代碼的動(dòng)態(tài)分析方法的流程示意圖�。
具體實(shí)施方式
下面結(jié)合附圖詳細(xì)說(shuō)明本發(fā)明的技術(shù)方案:
在一實(shí)施例中,如圖1所示��,實(shí)現(xiàn)了一種動(dòng)態(tài)鏈接庫(kù)形式的惡意代碼的分析方法���,包括步驟:
為便于理解,本實(shí)施例以一個(gè)僅封裝簡(jiǎn)單函數(shù)intstd_addfunc(inta�����,intb)����,intcde_addfunc(intc,intd)的dll文件為例���。
1�����、準(zhǔn)備待分析的動(dòng)態(tài)鏈接庫(kù)�,配置動(dòng)態(tài)分析過(guò)程所需的配置文件。
在此步驟中��,若是已知?jiǎng)討B(tài)鏈接庫(kù)的數(shù)據(jù)構(gòu)成���,那么配置文件中會(huì)包含動(dòng)態(tài)鏈接庫(kù)的路徑����、詳細(xì)的導(dǎo)出函數(shù)名表及各導(dǎo)出函數(shù)對(duì)應(yīng)的參數(shù)表及參數(shù)信息����,若是未知?jiǎng)討B(tài)鏈接庫(kù)的數(shù)據(jù)構(gòu)成,那么配置文件中的導(dǎo)出函數(shù)表信息為空����,只是包括動(dòng)態(tài)鏈接庫(kù)的路徑。
2����、選擇待分析的動(dòng)態(tài)鏈接庫(kù),獲取配置文件內(nèi)的信息�����,加載動(dòng)態(tài)鏈接庫(kù)�。
在此步驟中��,加載未知?jiǎng)討B(tài)鏈接庫(kù)過(guò)程中�����,可能會(huì)出現(xiàn)的系統(tǒng)硬錯(cuò)誤消息彈框問(wèn)題��,本申請(qǐng)通過(guò)windows提供的相關(guān)功能進(jìn)行解決���。由于不同版本的windows系統(tǒng)(例如windowsxp����、windows7)對(duì)動(dòng)態(tài)鏈接庫(kù)的加載會(huì)有差異,本實(shí)施例采用兩種方法來(lái)應(yīng)對(duì)動(dòng)態(tài)鏈接庫(kù)的加載�。當(dāng)被加載的動(dòng)態(tài)鏈接庫(kù)需要二次動(dòng)態(tài)加載其他動(dòng)態(tài)鏈接庫(kù)時(shí),應(yīng)用環(huán)境中如果有這個(gè)需要間接加載的動(dòng)態(tài)鏈接庫(kù)�����,則使用第一種方法完成加載��;如果沒(méi)有���,則使用第二種方法在不加載間接動(dòng)態(tài)鏈接庫(kù)的條件下�����,加載動(dòng)態(tài)鏈接庫(kù)�����。
具體而言�,兩種方法使用的是同一類(lèi)api函數(shù),分別為loadlibrary()�,loadlibraryex()。前者只是普通的加載�,后者可以設(shè)置參數(shù)dont_resolve_dll_references。如果加載的動(dòng)態(tài)鏈接庫(kù)還要加載其他的dll�,這個(gè)參數(shù)可以讓系統(tǒng)不自動(dòng)加載這個(gè)間接的dll。
在應(yīng)用環(huán)境中���,如果有動(dòng)態(tài)鏈接庫(kù)要加載的其他dll�����,通過(guò)第一種方法���,將這些間接要加載的dll加載起來(lái);如果沒(méi)有��,則需要調(diào)用第二種加函數(shù)來(lái)實(shí)現(xiàn)加載。
3��、在步驟2之后��,對(duì)獲取的配置文件中的信息進(jìn)行判斷����。解析樣本配置文件,通過(guò)解析獲得配置文件的內(nèi)容��,分析對(duì)動(dòng)態(tài)鏈接庫(kù)數(shù)據(jù)的掌握程度����,決定動(dòng)態(tài)分析過(guò)程的走向����。
在此步驟中,如果配置文件中包含導(dǎo)出函數(shù)名表以及參數(shù)表(如:std_addfunc15050)�,則進(jìn)行步驟4;如果配置文件中不包含要調(diào)用的待分析動(dòng)態(tài)鏈接庫(kù)的導(dǎo)出函數(shù)名表以及各函數(shù)對(duì)應(yīng)參數(shù)表�����,則進(jìn)行步驟5�����。
4、收集配置文件中的導(dǎo)出函數(shù)名表以及各函數(shù)對(duì)應(yīng)參數(shù)表�,執(zhí)行步驟8。
在此步驟中���,配置文件已經(jīng)包含了待分析動(dòng)態(tài)鏈接庫(kù)的導(dǎo)出函數(shù)表以及相應(yīng)的參數(shù)表����,則將導(dǎo)出函數(shù)名表���、參數(shù)表等信息(如:std_addfunc15050)輸入到包含整型導(dǎo)出函數(shù)地址�、參數(shù)數(shù)組的結(jié)構(gòu)體中存儲(chǔ)���。本次動(dòng)態(tài)分析將對(duì)所有動(dòng)態(tài)鏈接庫(kù)中已準(zhǔn)備好的導(dǎo)出函數(shù)進(jìn)行調(diào)用����,故直接執(zhí)行步驟8���。
5���、解析動(dòng)態(tài)鏈接庫(kù)��,獲取導(dǎo)出函數(shù)表���。
在此步驟中,根據(jù)動(dòng)態(tài)鏈接庫(kù)的pe文件結(jié)構(gòu)���,對(duì)動(dòng)態(tài)鏈接庫(kù)進(jìn)行解析�,遍歷獲得待分析動(dòng)態(tài)鏈接庫(kù)中的導(dǎo)出函數(shù)表��,即獲得std_addfunc���、cde_addfunc��。
6�����、解析動(dòng)態(tài)鏈接庫(kù),獲取導(dǎo)出函數(shù)地址表�����。
在此步驟中���,基于步驟5的結(jié)果�����,根據(jù)動(dòng)態(tài)鏈接庫(kù)的pe文件結(jié)構(gòu)�����,對(duì)動(dòng)態(tài)鏈接庫(kù)進(jìn)行分析��,遍歷獲得待分析動(dòng)態(tài)鏈接庫(kù)中的導(dǎo)出函數(shù)地址表��,即獲取std_addfunc���、cde_addfunc的導(dǎo)出函數(shù)地址�����,為步驟8中的調(diào)用未知導(dǎo)出函數(shù)工作提供導(dǎo)出函數(shù)地址����。
7�、模擬各導(dǎo)出函數(shù)相應(yīng)的參數(shù)表,執(zhí)行步驟8。
在此步驟中�,基于步驟6得到的數(shù)據(jù),根據(jù)計(jì)算機(jī)領(lǐng)域內(nèi)的數(shù)字化特征�����,由動(dòng)態(tài)分析方法提供模擬各導(dǎo)出函數(shù)相應(yīng)參數(shù)表的功能���,模擬出各導(dǎo)出函數(shù)相應(yīng)的參數(shù)表���。在模擬參數(shù)表的過(guò)程中,充分考慮參數(shù)的多樣性���,諸如:整型數(shù)��、浮點(diǎn)數(shù)��、指針����、指針嵌套以及指針函數(shù)等情況�����。由于計(jì)算機(jī)內(nèi)數(shù)據(jù)都是由二進(jìn)制機(jī)器碼表示��,故上述類(lèi)型的參數(shù)均可以由雙字節(jié)的整型數(shù)表示����。本方法構(gòu)建整型數(shù)組,并對(duì)數(shù)組進(jìn)行賦值�����,使各數(shù)組元素值為其自身地址����,實(shí)現(xiàn)了一個(gè)通用的數(shù)據(jù)結(jié)構(gòu)用于模擬上述類(lèi)型的參數(shù)。然后��,將模擬出的參數(shù)表以及所屬導(dǎo)出函數(shù)地址等信息放入前述指定的數(shù)據(jù)結(jié)構(gòu)中存儲(chǔ)�����。
在此步驟中����,模擬符合intstd_addfunc(inta,intb)����,intcde_addfunc(intc�,intd)函數(shù)所需的參數(shù)類(lèi)型�、數(shù)量。如:為std_addfunc提供參數(shù)a=100�����、b=200�����;為cde_addfunc提供參數(shù)c=300���、d=400���。
上述步驟可以理解為當(dāng)檢測(cè)某動(dòng)態(tài)鏈接庫(kù)未知其函數(shù)導(dǎo)出表時(shí),通過(guò)解析動(dòng)態(tài)鏈接庫(kù)pe結(jié)構(gòu)的方法�����,遍歷獲得樣本動(dòng)態(tài)鏈接庫(kù)的導(dǎo)出函數(shù)表����,得到各導(dǎo)出函數(shù)名����、各導(dǎo)出函數(shù)地址�����。并模擬出各導(dǎo)出函數(shù)相對(duì)應(yīng)的參數(shù)表�,完成未知?jiǎng)討B(tài)鏈接庫(kù)的動(dòng)態(tài)分析準(zhǔn)備工作��。
8�、根據(jù)步驟4或步驟5-7得到的相關(guān)數(shù)據(jù),進(jìn)行函數(shù)調(diào)用并分析其行為�,直至將全部函數(shù)調(diào)用過(guò)之后,結(jié)束分析過(guò)程�����。
在此步驟中��,憑借由上述步驟獲得的導(dǎo)出函數(shù)表以及參數(shù)表等信息�����,對(duì)動(dòng)態(tài)鏈接庫(kù)中的導(dǎo)出函數(shù)進(jìn)行遍歷調(diào)用���。在遍歷調(diào)用導(dǎo)出函數(shù)表中的函數(shù)的過(guò)程中��,對(duì)執(zhí)行代碼引發(fā)的行為�����、運(yùn)行環(huán)境變化進(jìn)行分析比對(duì)����,分析動(dòng)態(tài)鏈接庫(kù)中是否有攻擊行為,檢測(cè)動(dòng)態(tài)鏈接庫(kù)是否為惡意代碼��。
在此步驟中���,當(dāng)配置文件中包含導(dǎo)出函數(shù)名表以及參數(shù)表時(shí)��,調(diào)用std_addfunc函數(shù)�,導(dǎo)入步驟4獲得的參數(shù)150�����、50�,完成std_addfunc的函數(shù)運(yùn)行,返回結(jié)果200���;當(dāng)配置文件中不包含導(dǎo)出函數(shù)名表以及參數(shù)表時(shí)����,首先,調(diào)用std_addfunc函數(shù)�,導(dǎo)入步驟7模擬的參數(shù)100、200����,完成std_addfunc的函數(shù)運(yùn)行����,返回結(jié)果300;然后�,調(diào)用cde_addfunc函數(shù),導(dǎo)入步驟7模擬的參數(shù)300�����、400����,完成cde_addfunc的函數(shù)運(yùn)行,返回結(jié)果700����。在運(yùn)行函數(shù)的過(guò)程中���,對(duì)執(zhí)行std_addfunc、cde_addfunc程序引發(fā)的行為��、運(yùn)行環(huán)境變化進(jìn)行分析比對(duì)����,分析動(dòng)態(tài)鏈接庫(kù)中是否有攻擊行為,檢測(cè)動(dòng)態(tài)鏈接庫(kù)是否含有惡意代碼����。
需說(shuō)明的是,本發(fā)明不要求動(dòng)態(tài)鏈接庫(kù)是可以單獨(dú)運(yùn)行的代碼�����。無(wú)論是否已知?jiǎng)討B(tài)鏈接庫(kù)的具體構(gòu)成�����,都可以通過(guò)解析�、模擬動(dòng)態(tài)鏈接庫(kù)的運(yùn)行環(huán)境對(duì)動(dòng)態(tài)連接庫(kù)進(jìn)行動(dòng)態(tài)分析。對(duì)于任一動(dòng)態(tài)鏈接庫(kù),無(wú)論其是已知還是未知��,均可以對(duì)其進(jìn)行動(dòng)態(tài)分析���,檢測(cè)動(dòng)態(tài)鏈接庫(kù)中是否包含惡意代碼��。對(duì)于動(dòng)態(tài)鏈接庫(kù)中的所有導(dǎo)出函數(shù)�����,均可以通過(guò)指定的參數(shù)或動(dòng)態(tài)模擬構(gòu)造的參數(shù)對(duì)對(duì)其進(jìn)行動(dòng)態(tài)調(diào)用�,觸發(fā)動(dòng)態(tài)鏈接庫(kù)中的行為��。
綜上所述��,本發(fā)明提出的一種動(dòng)態(tài)鏈接庫(kù)形式的惡意代碼的動(dòng)態(tài)分析方法�����,對(duì)于本領(lǐng)域的技術(shù)人員而言����,可以在已知或未知?jiǎng)討B(tài)鏈接庫(kù)中導(dǎo)出函數(shù)名及其參數(shù)列表的情況下���,對(duì)動(dòng)態(tài)鏈接庫(kù)中所包含的導(dǎo)出函數(shù)進(jìn)行遍歷調(diào)用�,以高效率、高精準(zhǔn)度的動(dòng)態(tài)分析方法檢測(cè)該動(dòng)態(tài)鏈接庫(kù)是否含有惡意代碼��。
盡管為說(shuō)明目的公開(kāi)了本發(fā)明的具體實(shí)施例和附圖�����,其目的在于幫助理解本發(fā)明的內(nèi)容并據(jù)以實(shí)施�,本領(lǐng)域的技術(shù)人員可以理解:在不脫離本發(fā)明及所附的權(quán)利要求的精神和范圍內(nèi),各種替換��、變化和修改都是可能的���。因此�,本發(fā)明不應(yīng)局限于最佳實(shí)施例和附圖所公開(kāi)的內(nèi)容����,本發(fā)明要求保護(hù)的范圍以權(quán)利要求書(shū)界定的范圍為準(zhǔn)。