发明名称 | 自动二进制恶意代码行为分析方法 | ||
摘要 | 本发明涉及一种自动二进制恶意代码行为分析方法;该方法为:a.首先确定二进制恶意代码中可能存在的待分析的恶意行为,然后,在全系统模拟环境中执行待分析程序;b.取一条程序指令;c.如果该指令有输入值,则将输入值定义为符号变量;d.如果该指令是为条件分支指令,则生成、解析路径判定谓词,生成新路径,并将新路径加入路径存储池;e.如果该指令中包含待分析的WindowsAPI序列,则求解与该WindowsAPI序列相关的代码段,并生成相关触发输入集;f.如果路径存储池为空,则生成分析报告后结束;如不空,选择下一条要执行的路径,然后执行步骤b;本发明提供了一种高效的自动二进制恶意代码行为分析方法。 | ||
申请公布号 | CN102012988B | 申请公布日期 | 2012.09.26 |
申请号 | CN201010570398.4 | 申请日期 | 2010.12.02 |
申请人 | 张平 | 发明人 | 张平;李清宝;徐冰;曾光裕 |
分类号 | G06F21/00(2006.01)I | 主分类号 | G06F21/00(2006.01)I |
代理机构 | 郑州大通专利商标代理有限公司 41111 | 代理人 | 陈大通 |
主权项 | 一种自动二进制恶意代码行为分析方法,其特征是:在全系统模拟环境下,对二进制恶意代码进行如下分析:a.首先确定二进制恶意代码中存在的待分析的恶意行为,待分析的恶意行为由一张恶意行为列表来维护,恶意行为列表中含有Windows API调用序列;然后,在全系统模拟环境中执行待分析程序;b.取一条程序指令;c.判断该指令是否有输入值 如有,执行步骤d;如没有,执行步骤e;d.引入符号变量,将输入值定义为符号变量,在全系统模拟环境中采用符号执行方式执行;e.判断该指令是否为条件分支指令 如是,执行步骤f;如不是,执行步骤i;f.为该指令生成包含符号变量的路径判定谓词;g.解析路径判定谓词,生成程序执行新路径;h.保存新路径,将新路径加入路径存储池;i.判断该指令中是否包含待分析的Windows API调用序列 如是,执行步骤j;如不是,执行步骤l;j.采用反向切片技术,求解与该Windows API调用序列相关的代码段;k.生成相关触发输入集;相关触发输入集是指:与特定恶意行为相关,并且能够触发程序中的恶意代码执行的输入值的集合;l.判断路径存储池是否为空 如是,执行步骤m;如不是,在路径存储池中选择下一条要执行的路径,然后执行步骤b;m.生成分析报告;n.结束。 | ||
地址 | 450002 河南省郑州市金水区俭学街5号 |