一种动态链接库缺失的可执行程序的动态分析方法技术

本发明专利技术提供一种动态链接库缺失的可执行程序的动态分析方法。本发明专利技术通过分析可执行程序的导入表，获得其导入的动态链接库及其对应的导入函数信息，然后通过修改一个预先编译好的导出了若干函数的种子DLL文件的导出表，使其导出待分析的样本程序所需导入的函数，并修改该DLL的名称使之与样本程序所需的DLL名称相对应，最终生成程序样本所依赖的外部动态链接库文件，从而实现对动态链接库缺失的可执行程序进行动态分析。本发明专利技术无需运行可执行程序，并且对可执行程序没有修改，不破坏可执行程序完整性，同时本发明专利技术不仅适用于可执行程序的动态分析，也适用于动态链接库文件的动态分析，尤其适用于恶意软件的动态分析。

Dynamic analysis method for dynamic link library missing executable program

The present invention provides a dynamic analysis method for dynamically executable programs that are missing from dynamic link libraries. The invention of executable program through the analysis of the import table, dynamic link library and the corresponding import function information obtained by modifying its import, and then a pre compiled derived some function of seed DLL file export table, which are to be analyzed the function of sample procedures required to import, and modify the name DLL the required sample program DLL corresponding to the name, the external dynamic link library files generated on the sample program, so as to realize the dynamic link library on the lack of executable program for dynamic analysis. The invention does not need to run the executable program, and the executable program is not modified, does not destroy the integrity of the executable program, the dynamic analysis at the same time, the invention is not only suitable for the executable program, the dynamic analysis is also applicable to the dynamic link library files, especially suitable for the dynamic analysis of malicious software.

【技术实现步骤摘要】
一种动态链接库缺失的可执行程序的动态分析方法
本专利技术属于网络安全
，具体涉及一种动态链接库缺失的可执行程序的动态分析方法。
技术介绍
随着计算机技术和互联网技术的不断发展，人们的生活的方方面面都越来越离不开计算机和计算机上运行的软件。恶意软件窃取个人数据和商业机密，发送垃圾邮件，控制用户电脑，对远程服务器发动拒绝服务攻击，给个人和企业造严重的困扰和经济损失。为了逃避检测，恶意软件往往藏身很多无害的软件中。要从大量的可执行程序样本中检测和清除恶意软件，首先要获得可执行程序样本的基本信息和程序行为，并从中提取、总结恶意软件所具有的特征。可执行程序分析技术可以帮助研究人员获得这些信息。可执行程序分析技术主要有静态分析和动态分析。静态分析不运行程序样本，通过静态扫描程序样本，能够快速获得其基本信息：文件大小，文件类型，文件内容哈希，编译连接器版本，是否加壳等。它还可以对程序样本进行静态的语义分析，构建程序控制流图和数据依赖图，尝试理解程序行为，推断程序意图。静态分析通常借助特征字符串或特定的代码、数据片段对恶意代码进行检测。但是静态分析容易受到加壳，混淆，多态与变质等技术的干扰；缺本文档来自技高网...

【技术保护点】
一种动态链接库缺失的可执行程序的动态分析方法，包括如下步骤：1)预先生成一种子DLL；2)判断待分析的程序样本是否具有合法的导入表，如是，则执行步骤3)，否则终止对该样本的分析并输出错误信息；3)通过解析导入表结构，提取程序样本导入的DLL信息；4)针对程序样本导入的每一个DLL都生成种子DLL的一个拷贝，并修改该拷贝名称使之与所针对的DLL名称一致；5)根据步骤3)得到的DLL信息，对生成的DLL拷贝的导出表进行修改，使其形成程序样本依赖的DLL。

【技术特征摘要】
1.一种动态链接库缺失的可执行程序的动态分析方法，包括如下步骤：1)预先生成一种子DLL；2)判断待分析的程序样本是否具有合法的导入表，如是，则执行步骤3)，否则终止对该样本的分析并输出错误信息；3)通过解析导入表结构，提取程序样本导入的DLL信息；4)针对程序样本导入的每一个DLL都生成种子DLL的一个拷贝，并修改该拷贝名称使之与所针对的DLL名称一致；5)根据步骤3)得到的DLL信息，对生成的DLL拷贝的导出表进行修改，使其形成程序样本依赖的DLL。2.如权利要求1所述的动态链接库缺失的可执行程序的动态分析方法，其特征在于，还包括：6)根据步骤5)形成全部程序样本导入的DLL，将这些DLL移动到用户指定目录，并向用户报告生成结果。3.如权利要求1所述的动态链接库缺失的可执行程序的动态分析方法，其特征在于，步骤1)中所述种子DLL导出了足够多函数。4.如权利要求3所述的动态链接库缺失的可执行程序的动态分析方法，其特征在于，步骤1)中根据分析平台的系统版本，编译所述种子DLL；所述种子DLL导出了的函数的个数不小于9999个。5.如权利要求1所述的动态链接库缺失的可执行程序的动态分析方法，其特征在于，步骤1)中编译所述种子DLL的...

【专利技术属性】
技术研发人员：应凌云，莫建平，聂眉宁，苏璞睿，
申请(专利权)人：中国科学院软件研究所，
类型：发明
国别省市：北京,11