一种基于文档型漏洞的恶意代码样本提取方法及系统技术方案

本发明专利技术公开了一种基于文档型漏洞的恶意代码样本提取方法及系统，首先，定位文档中的shellcode；并提取定位到的shellcode；然后将所述shellcode转化为PE文件；运行所述PE文件，并判断所述PE文件是否有释放文件的行为，若是，则将释放的文件作为恶意代码样本进行提取，否则，则判断所述PE文件是否有下载文件的行为，若是，则将下载的文件作为恶意代码样本进行提取，否则，则放弃对所述文档进行恶意代码样本提取。此方法较于传统养殖方法提取的更准确、速度更快、更方便。

【技术实现步骤摘要】

【技术保护点】
一种基于文档型漏洞的恶意代码样本提取方法，其特征在于，包括：步骤1、定位文档中的shellcode；步骤2、提取定位到的shellcode；步骤3、将所述shellcode转化为PE文件；步骤4、运行所述PE文件，并判断所述PE文件是否有释放文件的行为，若是，则将释放的文件作为恶意代码样本进行提取，否则判断所述PE文件是否有下载文件的行为，若是，则将下载的文件作为恶意代码样本进行提取，否则放弃对所述文档进行恶意代码样本提取。

【技术特征摘要】

【专利技术属性】
技术研发人员：李伟，布宁，宋兵，刘佳男，李柏松，
申请(专利权)人：北京安天电子设备有限公司，
类型：发明
国别省市：