【技术实现步骤摘要】
本发 明涉及一种恶意代码行为分析方法,特别是涉及一种自动 二进制恶意代码行为分析方法。
技术介绍
恶意代码是威胁计算机系统和网络安全的重要因素之一。 恶意代码是对在不被用户所知的情况下渗透或破坏计算机系统的具有恶意行为的软件的 总称,是各种攻击、入侵、破坏软件或代码的泛指,包括计算机病毒、蠕虫、特洛伊木 马、Rootkits、间谍软件等。恶意代码分析用于提取恶意代码的特征信息,是恶意代码检 测和发现的基础和前提,近年来,由于恶意代码发展迅猛,自动分析恶意二进制代码显 得十分必要,分析结果不仅在设计防御系统方面很有用,还有助于了解攻击者的攻击能 力。目前,恶意代码分析的方法之一是人工使用调试器,并且对代码执行行为进行 推理。然而,人工分析的效率很低,还比较容易出错,无法与大量涌现的恶意代码进行 对抗。恶意二进制分析的另一种方法就是在一个有条件限制的环境(比如虚拟机环境) 中运行一段二进制代码程序观察并记录其行为。然而,此类方法提供的信息十分有限, 日志信息只记录了在具体设置下运行的恶意代码的表象行为。恶意二进制代码某些功 能,只在某些特定的环境或是条件下(比如当收...
【技术保护点】
一种自动二进制恶意代码行为分析方法,其特征是:在全系统模拟环境下,对二进制恶意代码进行如下分析:a.首先确定二进制恶意代码中可能存在的待分析的恶意行为,待分析的恶意行为由一张恶意行为列表来维护,恶意行为列表中含有Windows API调用序列;然后,在全系统模拟环境中执行待分析程序;b.取一条程序指令;c.判断该指令是否有输入值?如有,执行步骤d;如没有,执行步骤e;d.引入符号变量,将输入值定义为符号变量,在全系统模拟环境中采用符号执行方式执行;e.判断该指令是否为条件分支指令?如是,执行步骤f;如不是,执行步骤i;f.为该指令生成包含符号变量的路径判定谓词;g.解析路径...
【技术特征摘要】
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。