使用静态和动态恶意软件分析来扩展恶意软件的动态检测制造技术

本公开的实施例涉及使用静态和动态恶意软件分析来扩展恶意软件的动态检测。一种设备，设备接收软件程序，执行软件程序的动态恶意软件分析以生成动态恶意软件分析结果，并且基于软件程序的动态恶意软件分析生成调用图表。设备在软件程序的动态恶意软件分析期间利用调用图表来标识软件程序的退出和/或软件程序的强制终止，并且基于标识软件程序的退出和/或软件程序的强制终止来执行软件程序的静态恶意软件分析。设备基于执行软件程序的静态恶意软件分析生成静态恶意软件分析结果，并且将动态恶意软件分析结果和静态恶意软件分析结果结合以生成经结合的恶意软件分析结果。设备基于经结合的恶意软件分析结果执行一个或多个动作。

Using static and dynamic malware analysis to extend the dynamic detection of malware

【技术实现步骤摘要】
使用静态和动态恶意软件分析来扩展恶意软件的动态检测相关申请本申请基于美国专利法第35章第119条要求于2018年7月19日提交的印度专利申请第201841026993号的优先权，该案的内容以整体引用并入本文。
本公开的实施例涉及恶意软件的检测领域，更具体地，涉及使用静态和动态恶意软件分析来扩展恶意软件的动态检测。
技术介绍
如果软件程序(例如，二进制软件程序)在执行期间没有表现出防御(armoring)，则在沙盒内部执行的软件程序可以标识软件程序所使用的所有应用编程接口(API)。记录软件程序所使用的API踪迹对理解软件程序的行为和帮助确定软件程序是否是恶意的(例如，是恶意软件或者包括恶意软件)十分重要。然而，恶意软件使用不同种类的防御来阻止沙盒中的软件程序的动态恶意软件分析，这阻止了API踪迹的记录。例如，恶意软件可以检测软件程序正在沙盒内执行并且可以退出软件程序以阻止指示恶意行为的API踪迹的标识。
技术实现思路
根据一些实施方式，方法可以包括：接收来自客户端设备的软件程序，以及将软件程序提供至沙盒。方法本文档来自技高网...

【技术保护点】
1.一种方法，包括：/n由设备接收来自客户端设备的软件程序；/n由所述设备向沙盒提供所述软件程序；/n由所述设备并且经由所述沙盒执行所述软件程序的动态恶意软件分析，以生成动态恶意软件分析结果；/n由所述设备基于所述软件程序的所述动态恶意软件分析，生成调用图表；/n由所述设备并且在所述软件程序的所述动态恶意软件分析期间，利用所述调用图表来标识以下中的至少一项：/n所述软件程序的退出，或者/n所述软件程序的强制终止；/n由所述设备并且经由所述沙盒，基于标识所述软件程序的所述退出或者所述软件程序的所述强制终止中的所述至少一项，执行所述软件程序的静态恶意软件分析；/n由所述设备基于执行所述软件程序的所...

【技术特征摘要】
20180719 IN 201841026993;20180913 US 16/130,8161.一种方法，包括：
由设备接收来自客户端设备的软件程序；
由所述设备向沙盒提供所述软件程序；
由所述设备并且经由所述沙盒执行所述软件程序的动态恶意软件分析，以生成动态恶意软件分析结果；
由所述设备基于所述软件程序的所述动态恶意软件分析，生成调用图表；
由所述设备并且在所述软件程序的所述动态恶意软件分析期间，利用所述调用图表来标识以下中的至少一项：
所述软件程序的退出，或者
所述软件程序的强制终止；
由所述设备并且经由所述沙盒，基于标识所述软件程序的所述退出或者所述软件程序的所述强制终止中的所述至少一项，执行所述软件程序的静态恶意软件分析；
由所述设备基于执行所述软件程序的所述静态恶意软件分析，生成静态恶意软件分析结果；
由所述设备将所述动态恶意软件分析结果和所述静态恶意软件分析结果结合，以生成经结合的恶意软件分析结果；以及
由所述设备基于所述经结合的恶意软件分析结果，执行一个或多个动作。


2.根据权利要求1所述的方法，进一步包括：
移除在所述经结合的恶意软件分析结果中被提供的应用编程接口(API)踪迹，所述API踪迹是在所述经结合的恶意软件分析结果中被提供的其它API踪迹的子集。


3.根据权利要求1所述的方法，其中执行所述一个或多个动作包括以下中的一项或多项：
修改所述软件程序以移除恶意代码并且生成经修改的软件程序；
向所述客户端设备提供所述经修改的软件程序以用于执行；
重新分析所述软件程序，以核实所述恶意代码已经从所述软件程序被移除；或者
基于重新分析所述软件程序来重新修改所述软件程序以移除任何剩余的恶意代码。


4.根据权利要求1所述的方法，其中执行所述一个或多个动作包括以下中的一项或多项：
向所述客户端设备提供：使所述客户端设备修改所述软件程序以移除恶意代码的指令；
向所述客户端设备提供：使所述客户端设备向特定设备报告所述软件程序和所述恶意代码的指令；
向所述特定设备报告所述软件程序和所述恶意代码；
阻止所述软件程序和所述恶意代码在包括所述软件程序和所述恶意代码的所述特定设备上被执行；或者
从包括所述软件程序和所述恶意代码的所述特定设备移除所述软件程序和所述恶意代码。


5.根据权利要求1所述的方法，其中执行所述软件程序的所述动态恶意软件分析包括以下中的一项：
经由应用编程接口(API)挂载机制执行所述软件程序的API追踪；或者
经由一个或多个动态仪表测量机制执行所述软件程序的所述API追踪。


6.根据权利要求1所述的方法，其中执行所述软件程序的所述静态恶意软件分析包括：
利用所述调用图表来执行所述软件程序的所述静态恶意软件分析。


7.根据权利要求1所述的方法，其中：
所述动态恶意软件分析结果包括标识在所述软件程序中被提供的一个或多个应用编程接口(API)踪迹的信息；以及
所述静态恶意软件分析结果包括标识在所述软件程序中被提供的一个或多个附加API踪迹的信息。


8.一种设备，包括：
一个或多个存储器；以及
一个或多个处理器，所述一个或多个处理器用以：
接收来自客户端设备的软件程序；
执行所述软件程序的动态恶意软件分析，以生成动态恶意软件分析结果；
基于所述软件程序的所述动态恶意软件分析，生成调用图表；
在所述软件程序的所述动态恶意软件分析期间，利用所述调用图表来标识以下中的至少一项：
所述软件程序的退出，或者
所述软件程序的强制终止；
基于标识所述软件程序的所述退出或者所述软件程序的所述强制终止中的所述至少一项，执行所述软件程序的静态恶意软件分析；
基于执行所述软件程序的所述静态恶意软件分析，生成静态恶意软件分析结果；
将所述动态恶意软件分析结果和所述静态恶意软件分析结果结合以生成经结合的恶意软件分析结果；
移除在所述经结合的恶意软件分析结果中被提供的应用编程接口(API)踪迹，所述API踪迹是在所述经结合的恶意软件分析结果中被提供的其它API踪迹的子集，
其中经修改的恶意软件分析结果基于从所述经结合的恶意软件分析结果移除作为其它踪迹的子集的所述API踪迹而被生成；以及
基于所述经修改的恶意软件分析结果，执行一个或多个动作。


9.根据权利要求8所述的设备，其中所述调用图表包括：
一个或多个应用编程接口(API)踪迹，以及
一个或多个函数调用。


10.根据权利要求8所述的设备，其中当执行所述一个或多个动作时，所述一个或多个处理器用以执行以下中的一项或多项：
修改所述软件程序以移除恶意代码并且生成经修改的软件程序；
向所述客户端设备提供所述经修改的软件程序以用于执行；
重新分析所述软件程序以核实所述恶意代码已经从所述软件程序被移除；或者
基于重新分析所述软件程序来重新修改所述软件程序以移除任何剩余的恶意代码。


11.根据权利要求8所述的设备，其中当执...

【专利技术属性】
技术研发人员：S·R·达喀尔，A·W·萨尔达尼亚，A·莫汉塔，
申请(专利权)人：瞻博网络公司，
类型：发明
国别省市：美国;US