一种Linux平台下的恶意代码分析方法及系统

摘要

本发明提供一种Linux平台下的恶意代码分析方法及系统，利用LKM技术可实现动态加载，截获系统调用的位置位于VFS层和具体文件系统之间，以获取更多与文件操作相关的信息，提供更加准确有用的监控信息；系统调用的截获不需要修改系统调用表，以避免传统修改系统调用表方法所带来的安全隐患；采用共享内存机制以提高内核模块和用户进程的通信速度，以及通信传输的数据量；由用户选定需要监控的关键文件以及进程，以提高系统的易用性、灵活性和高效性，更好的满足用户对恶意代码分析的要求；选取恶意代码进程和多个重要的关键文件进行监控，以避免系统较大的性能损失，提高分析系统运行的速度。

主权项

一种Linux平台下的恶意代码分析方法，其特征在于，包括：步骤1，设置需要监控的关键文件信息，并将其以界面形式展示，其中所述关键文件信息包括：文件名、文件所属用户UID、用户组GID、文件访问权限；步骤2，加载并执行需要分析的恶意代码，同时根据界面展示的内容设置需要被监控进程；步骤3，将所述关键文件信息和被监控进程信息传递给内核空间的监控模块，所述监控模块根据所述关键文件信息和所述被监控进程信息同步生成关键文件列表和监控进程信息列表；步骤4，所述监控模块实时监控所述被监控进程对关键文件的访问，并依据所述关键文件和被监控进程的访问权限，拒绝或允许所述被监控进程对关键文件的操作；步骤5，所述监控模块记录所述被监控进程对关键文件的操作，并将被监控进程对关键文件的操作信息保存到日志队列中；步骤6，将所述日志队列中的日志信息传递给用户模块的日志处理例程，并以界面的形式将所述日志信息展示；其中所述步骤6包括：步骤61，从所述日志队列中获取日志信息，并将获取的日志信息写入到所述监控模块创建的共享内存中；步骤62，异步通知所述日志处理例程，所述日志处理例程读取日志信息，经过处理之后，将其存放在日志缓冲区，并以界面的形式将所述日志缓冲区中的日志信息展示给用户。