本发明专利技术公开了一种恶意代码加密配置定位方法及系统,包括:记录通过调用处理得到的包括接口函数信息、参数地址信息;标记所述接口函数中文件操作的参数地址为初始地址位置,设置位置信息为P
Malicious code encryption configuration positioning method and system
The invention discloses a malicious code encryption positioning method and system, including: the obtained information, including the interface function parameters by calling address information processing; parameter address file to mark the interface function in operation as the initial address of the location, location information for P
【技术实现步骤摘要】
一种恶意代码加密配置定位方法及系统
本专利技术涉及计算机安全
,更具体地涉及一种恶意代码加密配置定位方法及系统。
技术介绍
互联网技术的发展进步给人们的生活生产带来了诸多的益处,社交、金融、媒体、购物等各个方面都依托互联网技术进行运作,产生效益。在互联网创造巨大的经济效益的大环境下,有价值的数据、各种竞争关系诱发了通过互联网的窃密、控制、破坏的恶意行为。木马程序便是当下比较流行的窃密、控制、破坏手段。网络黑客通过一段特定的程序(木马程序)来控制另一台计算机。木马通常有两个可执行程序:一个是控制端,另一个是被控制端。植入电脑的是被控制端部分,黑客正是利用控制端进入运行了被控制端的电脑。当下的木马程序为了隐蔽自身不被发现,在程序运行后,会删除隐蔽自身,而为了对抗杀软和安全人员的检测,一些木马甚至会加密自身相关的配置信息,使得木马程序的发现与检测变得困难。木马文件配置信息位置有了各种加密和隐藏处理,传统的方法不好定位配置信息的位置,通过尝试各种算法定位查找配置信息位置,工作量大,难度大,耗时长。
技术实现思路
为了解决上述技术问题,提供了根据本专利技术的一种恶意代码加密配置定位方法及系统。根据本专利技术的第一方面,提供了一种恶意代码加密配置定位方法,包括:记录通过调用处理得到的包括接口函数信息、参数地址信息;标记所述接口函数中文件操作的参数地址为初始地址位置,设置位置信息为P1、...、Pn;基于文件内容读取操作,标记文件内存位置为内存起始地址X1、...、Xn;基于网络连接、设置服务和自启动、数据拷贝操作,标记内存地址传递位置的目标地址为Y1、...、Yn,并记录所述目标地址对应的字符串信息,所述字符串信息包括配置信息;基于目标地址Y1、...、Yn进行对应地址反查,判断Y1、...、Yn是否为反查操作中IP参数对应的地址,如果是则定位所述Yn的初始地址位置为Pn。在一些实施例中,包括:提取包含恶意数据的所述Pn对应的配置信息,所述恶意数据包括终端配置信息。在一些实施例中,所述提取包含恶意数据的Pn对应的配置信息,包括:基于所述配置信息进行判断,如果所述配置信息中的配置信息包括终端配置信息,则通过程序脚本对配置信息进行提取。在一些实施例中,所述配置信息包括终端CPU运算速度、终端名称、内存大小、IP及端口地址信息。在一些实施例中,所述初始地址位置为文件读取位置的字符串路径。根据本专利技术的第二方面,提供一种恶意代码加密配置定位系统,包括:记录模块,用于记录通过调用处理得到的包括接口函数信息、参数地址信息;第一标记模块,用于标记所述接口函数中文件操作的参数地址为初始地址位置,设置位置信息为P1、...、Pn;第二标记模块,用于基于文件内容读取操作,标记文件内存位置为内存起始地址X1、...、Xn;第三标记模块,用于基于网络连接、设置服务和自启动、数据拷贝操作,标记内存地址传递位置的目标地址为Y1、...、Yn,并记录所述目标地址对应的字符串信息,所述字符串信息包括配置信息;判断模块,用于基于目标地址Y1、...、Yn进行对应地址反查,判断Y1、...、Yn是否为反查操作中IP参数对应的地址,如果是则定位所述Yn的初始地址位置为Pn。在一些实施例中,包括:提取模块,用于提取包含恶意数据的所述Pn对应的配置信息,所述恶意数据包括终端配置信息。在一些实施例中,所述提取模块包括:用于基于所述字符串信息进行判断,如果所述字符串信息中的配置信息包括终端配置信息,则通过程序脚本对配置信息进行提取。在一些实施例中,所述配置信息包括终端CPU运算速度、终端名称、内存大小、IP及端口地址信息。在一些实施例中,所述初始地址位置为文件读取位置的字符串路径。通过使用本专利技术的方法和系统,记录调用处理得到的包括接口函数信息、参数地址信息,在文件操作、内容读取、网络连接、设置服务和自启动、数据拷贝操作过程中,进行关联API参数内存地址传递跟踪标记,回溯定位。快速准确定位恶意代码文件配置信息位置,不需要进行各种解密方法的尝试也能达到获取文件内容中配置信息的目的,免去了人工定位解密工作量大,难度大,耗时长的困难。附图说明为了更清楚地说明本专利技术的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1为根据本专利技术实施例的一种恶意代码加密配置定位方法的流程图;图2为根据本专利技术实施例的一种恶意代码加密配置定位系统的框图。具体实施方式下面参照附图对本专利技术的优选实施例进行详细说明,在描述过程中省略了对于本专利技术来说是不必要的细节和功能,以防止对本专利技术的理解造成混淆。虽然附图中显示了示例性实施例,然而应当理解,可以以各种形式实现本专利技术而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本专利技术的范围完整的传达给本领域的技术人员。本专利技术中将使用HOOK记录木马调用的API(应用程序编程接口)以及参数地址信息,而HOOK是一个消息的拦截机制,是消息处理中的一个环节,用于监控消息在系统中的传递,并在这些消息到达最终的消息处理过程前,处理某些特定的消息,实际上这个技术在操作系统里面被广泛使用。图1示出了根据本专利技术实施例的一种恶意代码加密配置定位方法的流程图。如图1所示,方法包括如下步骤:S110,记录通过调用处理得到的包括接口函数信息、参数地址信息。通过HOOKWINDOWSAPI的调用,处理得到API信息以及参数地址信息,其中,地址信息可以是将API的参数处理为16进制的地址形式(比如:0x1EFFC220)保存下来的信息。S120,标记接口函数中文件操作的参数地址为初始地址位置,设置位置信息为P1、...、Pn。首先监控文件操作一类的API,监控到打开配置文件动作。接口函数中的文件操作相关函数(比如:CreateFile、WriteFile、ReadFile、SetFiltPoint)对文件进行对应操作时,文件操作相关函数的参数为初始地址位置,将参数初始地址位置放入一个以文件操作函数命名的列表中,单独保存并进行标记,设置为P1、...、Pn,其中,n为任意正整数,一般为路径相关的内容。其中,初始地址位置为文件读取位置的字符串路径。S130,基于文件内容读取操作,标记文件内存位置为内存起始地址X1、...、Xn。通过文件内容读取函数读取到文件在内存中的位置,作为起始内存地址,被处理为16进制数据形式(比如:0x1EFFC220),并标记X1、...、Xn,其中,n为任意正整数。S140,基于网络连接、设置服务和自启动、数据拷贝操作,标记内存地址传递位置的目标地址为Y1、...、Yn,并记录目标地址对应的字符串信息。木马配置信息中有被感染的机器需要连接的IP和端口信息,但是是加密的,文件位置也不清楚。木马程序要传递信息需要调用相关的拷贝函数将配置内容拷贝出来到一个变量中,把IP和端口信息传递给网络连接相关的函数,同时在这个过程中也会收集被感染的终端配置信息。通过木马网络连接需要调用的网络信息查询、连接、发送等函数(gethostbyname、connect、send等),设置本文档来自技高网...
【技术保护点】
一种恶意代码加密配置定位方法,其特征在于,包括:记录通过调用处理得到的包括接口函数信息、参数地址信息;标记所述接口函数中文件操作的参数地址为初始地址位置,设置位置信息为P
【技术特征摘要】
1.一种恶意代码加密配置定位方法,其特征在于,包括:记录通过调用处理得到的包括接口函数信息、参数地址信息;标记所述接口函数中文件操作的参数地址为初始地址位置,设置位置信息为P1、...、Pn;基于文件内容读取操作,标记文件内存位置为内存起始地址X1、...、Xn;基于网络连接、设置服务和自启动、数据拷贝操作,标记内存地址传递位置的目标地址为Y1、...、Yn,并记录所述目标地址对应的字符串信息,所述字符串信息包括配置信息;基于目标地址Y1、...、Yn进行对应地址反查,判断Y1、...、Yn是否为反查操作中IP参数对应的地址,如果是则定位所述Yn的初始地址位置为Pn。2.根据权利要求1所述的方法,其特征在于,包括:提取包含恶意数据的所述Pn对应的配置信息,所述恶意数据包括终端配置信息。3.根据权利要求2所述的方法,其特征在于,所述提取包含恶意数据的Pn对应的配置信息,包括:基于所述字符串信息进行判断,如果所述字符串信息中的配置信息包括终端配置信息,则通过程序脚本对配置信息进行提取。4.根据权利要求1至3任一项所述的方法,其特征在于,所述配置信息包括终端CPU运算速度、终端名称、内存大小、IP及端口地址信息。5.根据权利要求1所述的方法,其特征在于,所述初始地址位置为文件读取位置的字符串路径。6.一种恶意代码加密配置定位系统,其...
【专利技术属性】
技术研发人员:康学斌,朱晴,肖新光,
申请(专利权)人:深圳市安之天信息技术有限公司,
类型:发明
国别省市:广东,44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。