【技术实现步骤摘要】
一种恶意样本延时代码的检测识别方法及装置
[0001]本专利技术属于恶意代码检测
,涉及一种对特定类型的恶意代码的检测识别方法,特别涉及一种恶意样本延时代码的检测识别方法及装置。
技术介绍
[0002]恶意代码的识别与检测是构成系统安全与软件安全的一项重要内容,也是近年来安全领域内攻击者与防御者持续对抗,不断进行技术升级的研究分支。随着防御方在恶意代码分析技术,特别是以沙箱为代表的动态分析技术上的进步,对恶意代码的特征识别与分类效率有了显著的提升。
[0003]然而,恶意代码作者们为了提升恶意代码的隐蔽性与多样性,开始研究能够对抗或者逃避沙箱对恶意代码分析的技术,这类恶意软件被称为逃避型恶意软件(Evasive Malware)。逃避型恶意软件通过反调试、运行环境检测、模仿正常系统行为、模仿用户活动模式、流量混淆等技术,干扰沙箱等工具或环境对恶意代码的分析,从而导致沙箱的误判,使自己蒙混过关。具体表现为恶意代码在分析过程中不表现出任何的恶意行为或刻意模仿正常进程的行为,或者在动态分析的过程中强制退出或结束自身运...
【技术保护点】
【技术特征摘要】
1.一种恶意样本延时代码的检测识别方法,其步骤包括:运行目标代码,获取结束地址与运行指令数;根据所述运行指令数与所述目标代码在规定时间内运行的指令数,计算执行进度;寻找结束地址所在的子过程内的次数极大循环,并根据次数极大循环的循环出入口地址,检查所述次数极大循环内是否存在延时性调用;基于所述执行进度与所述次数极大循环内是否存在延时性调用,获取检测识别结果。2.如权利要求1所述的方法,其特征在于,所述获取结束地址与运行指令数,包括:1)基于自定义分析样本的接口,修改Cuckoo沙箱的源码;2)设置目标代码运行的参数配置;3)基于修改后的源码与所述参数配置,编写Cuckoo自定义分析处理程序,以获取目标代码在沙箱内运行时生成的结束地址与运行指令数。3.如权利要求1所述的方法,其特征在于,所述获取结束地址与运行指令数时,不计算库函数。4.如权利要求1所述的方法,其特征在于,所述计算样本执行进度,包括:将所述目标代码在规定时间内运行的指令数作为分子,并将所述运行指令数作为分母进行计算。5.如权利要求1所述的方法,其特征在于,所述获取检测识别结果,包括:当所述执行进度低于设定阈值,且所述次数极大循环内存在延时性调用,则所述目标代码为恶意延时代码;或,当所述执行进度不低于设定阈值、或所述结束地址所...
【专利技术属性】
技术研发人员:贾晓启,常帅,杜海超,宋振宇,唐静,解亚敏,
申请(专利权)人:中国科学院信息工程研究所,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。