【技术实现步骤摘要】
一种基于虚拟机的软件行为分析方法和系统
本专利技术涉及通信
,尤其涉及一种基于虚拟机的软件行为分析方法和系统。
技术介绍
随着互联网的发展,恶意软件给人类社会的安全带了极大的影响,如何更加精准以及更加高效的分析软件的行为是互联网行业的一大难题。现有技术中分析软件行为的方法大都通过人工筛选病毒或者人工分析代码二进制的性质,进而由系统对代码进行反编译的方法实现软件行为的分析,但这种分析软件行为的方法往往存在分析效率低的问题;另外现有技术中还有一种基于虚拟机的分析软件行为的方法,该方法通过在虚拟机上运行待分析软件,进而分析该待分析软件在运行过程中所生成的日志而总结出该软件具有的恶意行为,该方法在分析软件运行所生成的日志时,需要对整个日志进行分析对比,因而仍然存在分析效率低的问题,并且对日志进行分析时,有些恶意软件行为无法明确,因而还存在分析准确率低的问题。
技术实现思路
本专利技术旨在至少解决现有技术中存在的技术问题之一,提出了一种基于虚拟机的软件行为分析方法和系统,用以解决现有技术中软件行为分析方法存在分析效率和分析准确率低的问题。为解决上述技术问题,本专利技术提供...
【技术保护点】
1.一种基于虚拟机的软件行为分析方法,其特征在于,包括:虚拟机为多个软件样本分别孵化子进程;虚拟机加载并动态执行每个子进程对应的软件样本;捕获模块捕获软件样本的恶意行为,并提取所述软件样本代码中的与所述恶意行为对应的函数;代码注入模块将shellcode代码注入到所述软件样本中,以替换所述软件样本代码中的与所述恶意行为对应的函数;所述捕获模块将所述软件样本代码中的与所述恶意行为对应的函数发送至日志生成及分析模块;所述日志生成及分析模块从后台恶意软件行为库中查询出所述软件样本代码中的与所述恶意行为对应的函数对应的危险等级。
【技术特征摘要】
1.一种基于虚拟机的软件行为分析方法,其特征在于,包括:虚拟机为多个软件样本分别孵化子进程;虚拟机加载并动态执行每个子进程对应的软件样本;捕获模块捕获软件样本的恶意行为,并提取所述软件样本代码中的与所述恶意行为对应的函数;代码注入模块将shellcode代码注入到所述软件样本中,以替换所述软件样本代码中的与所述恶意行为对应的函数;所述捕获模块将所述软件样本代码中的与所述恶意行为对应的函数发送至日志生成及分析模块;所述日志生成及分析模块从后台恶意软件行为库中查询出所述软件样本代码中的与所述恶意行为对应的函数对应的危险等级。2.根据权利要求1所述的基于虚拟机的软件行为分析方法,其特征在于,所述虚拟机为多个软件样本分别孵化子进程之前,还包括:虚拟机存储后台恶意软件行为库和shellcode代码库;所述shellcode代码中包含至少一段所述shellcode代码。3.根据权利要求2所述的基于虚拟机的软件行为分析方法,其特征在于,所述shellcode代码库中的至少一段所述shellcode代码与所述后台恶意软件行为库中所包含的函数具有一一对应关系。4.根据权利要求1所述的基于虚拟机的软件行为分析方法,其特征在于,所述捕获模块捕获软件样本的恶意行为,并提取所述软件样本代码中的与所述恶意行为对应的函数之后,还包括:所述捕获模块将所述软件样本代码中的与所述恶意行为对应的函数发送至数据模块,以供所述数据模块对所述软件样本代码中与所述恶意行为对应的函数进行存储。5.根据权利要求1所述的基于虚拟机的软件行为分析方法,其特征在于,所述捕获模块将所述软件样本代码中的与所述恶意行为对应的函数发送至日志生成及分析模块包括:所述捕获模块向数据传输模块发送传输指令;所述数据传输模块建立所述捕获模块与所述日志生成及分析模块之间的安全通道;所...
【专利技术属性】
技术研发人员:王文治,
申请(专利权)人:中国联合网络通信集团有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。