发明名称 |
一种API日志的循环逻辑的识别方法及装置 |
摘要 |
本发明提供一种API日志的循环逻辑的识别方法及装置,其中方法包括:对API日志进行解析,获得多个节点组成的节点序列;其中每一个所述节点包括:对可移植的执行体PE文件执行过程中调用到的系统接口函数的内存地址REIP以及该系统接口函数API的名称的组合;获得所述REIP和所述API的名称的组合的校验值,并将所述校验值作为所述节点的键值;根据节点的键值,在所述节点序列中,识别出一个节点子序列,并将所述节点子序列作为一个内层循环体;根据识别出的所述内层循环体,在所述节点序列中,识别出所有循环体;根据识别出的所有循环体对病毒行为进行动态分析。本发明的方案能够解决API日志信息冗余和可读性差的问题。 |
申请公布号 |
CN103383720B |
申请公布日期 |
2016.03.09 |
申请号 |
CN201210135701.7 |
申请日期 |
2012.05.03 |
申请人 |
北京金山安全软件有限公司;可牛网络技术(北京)有限公司;贝壳网际(北京)安全技术有限公司 |
发明人 |
邹义鹏;刘欢;白彦庚;张楠;陈勇 |
分类号 |
G06F21/56(2013.01)I;G06F11/14(2006.01)I |
主分类号 |
G06F21/56(2013.01)I |
代理机构 |
北京银龙知识产权代理有限公司 11243 |
代理人 |
黄灿;安利霞 |
主权项 |
一种API日志的循环逻辑的识别方法,其特征在于,包括:对API日志进行解析,获得多个节点组成的节点序列;其中每一个所述节点包括:对可移植的执行体PE文件执行过程中调用到的系统接口函数的内存地址REIP以及该系统接口函数API名称的组合;获得所述REIP和所述API名称的组合的校验值,并将所述校验值作为所述节点的键值;根据节点的键值,在所述节点序列中,识别出一个节点子序列,并将所述节点子序列作为一个内层循环体;根据识别出的所述内层循环体,在所述节点序列中,识别出所有循环体;根据识别出的所有循环体对病毒行为进行动态分析。 |
地址 |
100085 北京市海淀区小营西路33号金山大厦 |