| 主权项 |
一种自动二进制恶意代码行为分析方法,其特征是:在全系统模拟环境下,对二进制恶意代码进行如下分析:a.首先确定二进制恶意代码中存在的待分析的恶意行为,待分析的恶意行为由一张恶意行为列表来维护,恶意行为列表中含有Windows API调用序列;然后,在全系统模拟环境中执行待分析程序;b.取一条程序指令;c.判断该指令是否有输入值 如有,执行步骤d;如没有,执行步骤e;d.引入符号变量,将输入值定义为符号变量,在全系统模拟环境中采用符号执行方式执行;e.判断该指令是否为条件分支指令 如是,执行步骤f;如不是,执行步骤i;f.为该指令生成包含符号变量的路径判定谓词;g.解析路径判定谓词,生成程序执行新路径;h.保存新路径,将新路径加入路径存储池;i.判断该指令中是否包含待分析的Windows API调用序列 如是,执行步骤j;如不是,执行步骤l;j.采用反向切片技术,求解与该Windows API调用序列相关的代码段;k.生成相关触发输入集;相关触发输入集是指:与特定恶意行为相关,并且能够触发程序中的恶意代码执行的输入值的集合;l.判断路径存储池是否为空 如是,执行步骤m;如不是,在路径存储池中选择下一条要执行的路径,然后执行步骤b;m.生成分析报告;n.结束。 |
