| 发明名称 | 一种API日志的循环逻辑的识别方法及装置 | ||
| 摘要 | 本发明提供一种API日志的循环逻辑的识别方法及装置,其中方法包括:对API日志进行解析,获得多个节点组成的节点序列;其中每一个所述节点包括:对可移植的执行体PE文件执行过程中调用到的系统接口函数的内存地址REIP以及该系统接口函数API的名称的组合;获得所述REIP和所述API的名称的组合的校验值,并将所述校验值作为所述节点的键值;根据节点的键值,在所述节点序列中,识别出一个节点子序列,并将所述节点子序列作为一个内层循环体;根据识别出的所述内层循环体,在所述节点序列中,识别出所有循环体;根据识别出的所有循环体对病毒行为进行动态分析。本发明的方案能够解决API日志信息冗余和可读性差的问题。 | ||
| 申请公布号 | CN103383720B | 申请公布日期 | 2016.03.09 |
| 申请号 | CN201210135701.7 | 申请日期 | 2012.05.03 |
| 申请人 | 北京金山安全软件有限公司;可牛网络技术(北京)有限公司;贝壳网际(北京)安全技术有限公司 | 发明人 | 邹义鹏;刘欢;白彦庚;张楠;陈勇 |
| 分类号 | G06F21/56(2013.01)I;G06F11/14(2006.01)I | 主分类号 | G06F21/56(2013.01)I |
| 代理机构 | 北京银龙知识产权代理有限公司 11243 | 代理人 | 黄灿;安利霞 |
| 主权项 | 一种API日志的循环逻辑的识别方法,其特征在于,包括:对API日志进行解析,获得多个节点组成的节点序列;其中每一个所述节点包括:对可移植的执行体PE文件执行过程中调用到的系统接口函数的内存地址REIP以及该系统接口函数API名称的组合;获得所述REIP和所述API名称的组合的校验值,并将所述校验值作为所述节点的键值;根据节点的键值,在所述节点序列中,识别出一个节点子序列,并将所述节点子序列作为一个内层循环体;根据识别出的所述内层循环体,在所述节点序列中,识别出所有循环体;根据识别出的所有循环体对病毒行为进行动态分析。 | ||
| 地址 | 100085 北京市海淀区小营西路33号金山大厦 | ||