主权项 |
1.恶意程序动态行为自动化分析系统,其特征在于包括如下组成部件:初始化部件:恶意行为自动化分析系统首先在监控方式下启动被分析的未知二进制程序,并将虚拟执行部件远程注入到目标二进制程序进程空间内,并初始化虚拟执行部件。同时,加载行为监控部件,其中包含有默认的恶意行为规则库。可通过用户接口添加、删除和修改行为规则库中的内容。反汇编部件:恶意行为自动化分析系统获取目标二进制程序的代码流,由反汇编部件生成对应的汇编代码,逐条分析得到的汇编指令。反汇编部件用于动态构建与目标代码流相一致的汇编指令流。虚拟执行部件:恶意行为自动化分析系统针对反汇编部件生成的目标程序汇编指令流,当遇到控制转移指令,或基本块的累计指令数目超出用户定义的范围时,设置为该基本块的结束。同时,虚拟执行部件以虚拟执行的方式执行基本块中的每条指令。行为监控部件:恶意行为自动化分析系统针对虚拟执行部件生成的每个基本块,判断其中是否存在有规则库中的恶意行为指令。若不存在,则由虚拟执行部件虚拟执行各条指令。若存在,将控制权转移给行为分析部件,记录下该恶意行为,之后将控制权返回给虚拟执行部件。行为分析部件:恶意行为自动化分析系统根据记录下的恶意行为,按照行为的作用范围和严重程度,对该未知二进制程序的恶意行为进行分析归类。同时,提供针对该恶意程序有效的防御方法和手动卸载方法。 |