The invention discloses a method and system, malicious code recognition method based on random random tracking includes a random number generating function record run code randomization behavior generated in the randomization parameters, randomization parameters of address; address lookup time parameter randomization parameters, random parameters based on address; the sample parameters have the sample code in a function call, the parameters of the sample address based on whether the randomized parameters address is present in the sample parameter address, and extracts the specific parameter address; the sample parameters, parameters of the sample address based on whether the randomization parameters appear in the sample parameters, appears to run code randomization behavior for malicious code randomization behavior; based on the extraction of the specific parameter address does not appear, whether in the track alignment When the sample parameter address appears, the running code randomization acts as malicious code randomization, without the occurrence of malicious code randomization.
【技术实现步骤摘要】
一种基于随机跟踪的恶意代码随机化识别方法及系统
本专利技术涉及计算机安全
,更具体地涉及一种基于随机跟踪的恶意代码随机化识别方法及系统。
技术介绍
互联网技术的发展进步给人们的生活生产带来了诸多的益处,社交、金融、媒体、购物等各个方面都依托互联网技术进行运作,产生效益。在互联网创造巨大的经济效益的大环境下,有价值的数据、各种竞争关系诱发了通过互联网的窃密、控制、破坏的恶意行为。木马程序便是当下比较流行的窃密、控制、破坏手段。网络黑客通过一段特定的程序(木马程序)来控制另一台计算机。木马通常有两个可执行程序:一个是控制端,另一个是被控制端。植入电脑的是被控制端部分,黑客正是利用控制端进入运行了被控制端的电脑。当下的木马程序为了隐蔽自身特征不被发现,在程序运行后,会对自身的一些名称进行随机化的操作,比如进程名、互斥量名、配置文件名等。这种随机化的手段干扰了安全人员对于恶意代码特征的提取,恶意代码的查找与定位。传统的方法识别木马随机化的行为一般为运行样本后记录样本的相关文件以及进程名称,重启后再次记录,看二者是否有差异。如果有则样本存在随机化的行为。这种方法的缺陷是需要重启或者多次运行才能判断是否有随机化的行为,不利于快速发现木马的随机化行为。现有的病毒特征提取方法一般为提取特征、验证该特征可检出、将该特征添加入病毒库,但对所提的特征检出能力并未评级,即所有提取的特征都被赋予相同的检出能力,这其中不排除存在一些误报的特征,此类容易误报及检出能力低的特征被加入病毒库,做检出时会影响杀毒引擎的检出率与误报率。
技术实现思路
为了解决上述技术问题,提供了根据本专利技 ...
【技术保护点】
一种基于随机跟踪的恶意代码随机化识别方法,其特征在于,包括:记录运行代码随机化行为中的随机数生成函数产生的随机化参数值、随机化参数地址;基于时间参数地址查找随机化参数值、随机化参数地址;基于样本代码函数调用中产生的样本参数值、样本参数地址,判断所述随机化参数地址是否出现在所述样本参数地址中,并提取特定参数地址;基于样本代码函数调用中产生的样本参数值、样本参数地址,判断所述随机化参数值是否出现在所述样本参数值中,如果出现,则运行代码随机化行为为恶意代码随机化行为;如果不出现则基于提取的所述特定参数地址,跟踪比对是否出现在所述样本参数地址中,出现则所述运行代码随机化行为为恶意代码随机化行为,不出现则无恶意代码随机化行为。
【技术特征摘要】
1.一种基于随机跟踪的恶意代码随机化识别方法,其特征在于,包括:记录运行代码随机化行为中的随机数生成函数产生的随机化参数值、随机化参数地址;基于时间参数地址查找随机化参数值、随机化参数地址;基于样本代码函数调用中产生的样本参数值、样本参数地址,判断所述随机化参数地址是否出现在所述样本参数地址中,并提取特定参数地址;基于样本代码函数调用中产生的样本参数值、样本参数地址,判断所述随机化参数值是否出现在所述样本参数值中,如果出现,则运行代码随机化行为为恶意代码随机化行为;如果不出现则基于提取的所述特定参数地址,跟踪比对是否出现在所述样本参数地址中,出现则所述运行代码随机化行为为恶意代码随机化行为,不出现则无恶意代码随机化行为。2.根据权利要求1所述的方法,其特征在于,所述参数值包括进程名、文件名、文件内容、互斥量、字符串拷贝。3.根据权利要求1所述的方法,其特征在于,所述基于时间参数地址查找随机化参数值、随机化参数地址,包括:检查所述时间参数地址中任意参数地址是否出现在所述随机化参数地址中,如果在,提取所述随机化参数值、随机化参数地址。4.根据权利要求1或3所述的方法,其特征在于,所述时间参数地址包括运行时长参数地址、当前时间参数地址。5.根据权利要求1所述的方法,其特征在于,所述特定参数地址包括字符串拷贝相关参数地址。6.一种基...
【专利技术属性】
技术研发人员:康学斌,朱晴,肖新光,
申请(专利权)人:深圳市安之天信息技术有限公司,
类型:发明
国别省市:广东,44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。