恶意程序动态行为自动化分析系统与方法

摘要

本发明涉及恶意二进制程序动态行为的自动化分析系统与方法。该系统由初始化部件、虚拟执行部件、反汇编部件、行为监控部件和行为分析部件组成。该方法是：初始化部件启动被监视程序，加载虚拟执行部件和行为监控部件。反汇编部件获取目标程序二进制代码流的汇编指令，虚拟执行部件切片生成相应的基本块，行为监控部件判断基本块内是否存在规则库中的恶意行为。若存在，将控制权转移给行为分析部件，记录该恶意行为。返回后虚拟执行基本块中的每条指令。程序执行退出或用户强行中止分析后，行为分析部件提交恶意行为分析报告。本发明支持在虚拟环境中对恶意程序运行行为的完全控制与分析，详细报告将提供针对恶意程序的有效防御方法。

主权项

1.恶意程序动态行为自动化分析系统，其特征在于包括如下组成部件：初始化部件：恶意行为自动化分析系统首先在监控方式下启动被分析的未知二进制程序，并将虚拟执行部件远程注入到目标二进制程序进程空间内，并初始化虚拟执行部件。同时，加载行为监控部件，其中包含有默认的恶意行为规则库。可通过用户接口添加、删除和修改行为规则库中的内容。反汇编部件：恶意行为自动化分析系统获取目标二进制程序的代码流，由反汇编部件生成对应的汇编代码，逐条分析得到的汇编指令。反汇编部件用于动态构建与目标代码流相一致的汇编指令流。虚拟执行部件：恶意行为自动化分析系统针对反汇编部件生成的目标程序汇编指令流，当遇到控制转移指令，或基本块的累计指令数目超出用户定义的范围时，设置为该基本块的结束。同时，虚拟执行部件以虚拟执行的方式执行基本块中的每条指令。行为监控部件：恶意行为自动化分析系统针对虚拟执行部件生成的每个基本块，判断其中是否存在有规则库中的恶意行为指令。若不存在，则由虚拟执行部件虚拟执行各条指令。若存在，将控制权转移给行为分析部件，记录下该恶意行为，之后将控制权返回给虚拟执行部件。行为分析部件：恶意行为自动化分析系统根据记录下的恶意行为，按照行为的作用范围和严重程度，对该未知二进制程序的恶意行为进行分析归类。同时，提供针对该恶意程序有效的防御方法和手动卸载方法。