通过静态分析检测后门代码的方法技术

本申请涉及一种通过静态分析检测后门代码的方法，应用于信息安全技术领域，其检测设备在待测代码中检测预设特定函数所在的目标代码段；所述检测设备跟踪所述目标代码段的数据流传递路径；所述检测设备获取预设的后门代码判断条件，所述后门代码判断条件至少包括：系统层面操作或数据输出操作；若所述目标代码段的数据流传递路径存在系统层面操作或数据输出操作，所述检测设备则确定所述目标代码段中存在后门代码；所述检测设备根据所述目标代码段的数据流传递路径，定位并显示所述后门代码的具体位置。本申请通过检测设备检测待测代码中的后门代码，增加操作系统运行待测程序的安全性，以避免操作系统中的数据被破坏和窃取。取。取。

【技术实现步骤摘要】
通过静态分析检测后门代码的方法


[0001]本申请涉及信息安全
，尤其是涉及一种通过静态分析检测后门代码的方法。

技术介绍

[0002]目前软件的测试方法主要为静态测试，静态测试是指不运行待测程序，通过分析对待测程序进行检测。白盒测试属于静态测试，传统的白盒测试是按照程序内部的结构测试程序，通过测试待测程序中的所有逻辑路径是否都能按预定要求正常运行，从而检测出待测程序中存在的漏洞。
[0003]后门代码是一种特殊的漏洞，后门代码大多为开发人员有意预留的违规代码，后门代码可以绕过操作系统的安全认证而直接获取数据访问权，通常目的为数据破坏或数据窃取。
[0004]在实现本专利技术的过程中，专利技术人发现现有技术至少存在以下问题：由于后门代码与待测程序中正常代码的编写逻辑、函数和代码结构相似度高，所以传统的白盒测试很难对后门代码进行识别，因此无法对后门代码进行检测，操作系统在运行待测程序时存在安全隐患。

技术实现思路

[0005]为了解决现有的技术问题，本申请提供一种通过静态分析检测后门代码的方法，所述技术方案如本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种通过静态分析检测后门代码的方法，其特征在于，所述方法包括：检测设备在待测代码中检测预设特定函数所在的目标代码段；所述检测设备跟踪所述目标代码段的数据流传递路径；所述检测设备获取预设的后门代码判断条件，所述后门代码判断条件至少包括：系统层面操作或数据输出操作；若所述目标代码段的数据流传递路径存在系统层面操作或数据输出操作，所述检测设备则确定所述目标代码段中存在后门代码；所述检测设备根据所述目标代码段的数据流传递路径，定位并显示所述后门代码的具体位置。2.根据权利要求1所述的通过静态分析检测后门代码的方法，其特征在于，检测设备在待测代码中检测预设特定函数所在的目标代码段之前，还包括：所述检测设备获取样本后门代码；所述检测设备提取后门代码中所存在的函数，统计后门代码中的函数出现频率；所述检测设备将所述函数出现频率大于预设值的函数设定为特定函数。3.根据权利要求1所述的通过静态分析检测后门代码的方法，其特征在于，所述检测设备跟踪所述目标代码段的数据流传递路径，包括：所述检测设备建立所述待测代码的代码抽象树模型；所述检测设备通过所述代码抽象树模型跟踪所述目标代码段的数据流传递路径。4.根据权利要求1所述的通过静态分析检测后门代码，其特征在于，若所述目标代码段的数据流传递路径存在系统层面操作或数据输出操作，所述检测设备则确定所述目标代码段中存在后门代码，包括：若检测到所述目标代码段中同时存在通信链接的建立操作和系统命令的执行操作，所述检测设备则判断所述目标代码中存在后门代码。5.根据权利要求4所述的通过静态分析检测后门代码，其特征在于，若所述目标代码段的数据流传递路径存在系统层面操作或数据输出操作，所述检测设备则确定所述目标代码段中存在后门代码，包括：所述检测设备则通过所述代码抽象树模型检测所述数据输出地址是否为预设的授权地址；若是授权地址，所述检测设备则重新判断目标代码段中不存在后门代码；若不是授权地址，所述检测设备则确定目标代码...

【专利技术属性】
技术研发人员：万振华，
申请(专利权)人：深圳开源互联网安全技术有限公司，
类型：发明
国别省市：