專利名稱：基于api hook的惡意代碼自動(dòng)分析方法和系統(tǒng)的制作方法
技術(shù)領(lǐng)域：
本發(fā)明涉及惡意代碼。
背景技術(shù)：
本發(fā)明是利用API鉤子技術(shù)和遠(yuǎn)程線程注入技術(shù)，對(duì)樣本進(jìn)行監(jiān)控。本發(fā)明記錄惡意代碼運(yùn)行過程中對(duì)整個(gè)系統(tǒng)的影響，并自動(dòng)生成動(dòng)態(tài)分析報(bào)告，記錄惡意代碼樣本對(duì)文件，網(wǎng)絡(luò)，注冊(cè)表，進(jìn)程所產(chǎn)生的影響，當(dāng)樣本運(yùn)行結(jié)束后，將系統(tǒng)恢復(fù)到樣本執(zhí)行前的狀態(tài)。它不但具有自動(dòng)分析功能(整個(gè)監(jiān)控、記錄和還原的過程不需要人工的干預(yù))，并且還適用于大量樣本的無人工干預(yù)的分析，分析速度比較快，分析報(bào)告中的無用信息比較少。目前也有一些相關(guān)的專利，以下做些介紹專利2006100804 . X “一種惡意代碼自動(dòng)分析系統(tǒng)及方法”含有多個(gè)相對(duì)獨(dú)立的模塊構(gòu)成，惡意代碼運(yùn)行模塊，文件監(jiān)視模塊，注冊(cè)表監(jiān)視模塊，函數(shù)調(diào)用監(jiān)視模塊，網(wǎng)絡(luò)數(shù)據(jù)監(jiān)視模塊，程序內(nèi)部行為監(jiān)視模塊，惡意代碼行為自動(dòng)分析模塊，方法含有以下步驟 加載文件監(jiān)視和注冊(cè)表監(jiān)視的驅(qū)動(dòng)程序，加載預(yù)定義要記錄的敏感函數(shù)，在惡意代碼運(yùn)行的過程，同步記錄應(yīng)用程序接口調(diào)用，文件，注冊(cè)表的訪問，網(wǎng)絡(luò)操作；當(dāng)惡意代碼進(jìn)程結(jié)束而自動(dòng)退出，系統(tǒng)對(duì)這些行為進(jìn)行自動(dòng)分析，輸出自動(dòng)分析結(jié)果；本發(fā)明提供的自動(dòng)分析方法，完全記錄惡意代碼運(yùn)行的行為，并對(duì)于惡意代碼使用的未知?dú)せ蜃冃螝げ皇苡绊?。大幅度地提高了惡意代碼分析人員的工作效率。專利2006100804 . X在每運(yùn)行一個(gè)樣本后，對(duì)系統(tǒng)進(jìn)行恢復(fù)，沒有解決不在人工干預(yù)的情況下，自動(dòng)分析大量樣本的問題。而且監(jiān)控了整個(gè)系統(tǒng)的API調(diào)用，可能會(huì)有很多無用信息。專利200310106551. 8“一種分層協(xié)同的網(wǎng)絡(luò)病毒和惡意代碼識(shí)別方法”，是分層協(xié)同的網(wǎng)絡(luò)病毒和惡意代碼識(shí)別方法，特征是借鑒生物免疫強(qiáng)大的自我保護(hù)機(jī)制，將網(wǎng)絡(luò)病毒和惡意代碼識(shí)別技術(shù)和生物免疫系統(tǒng)的多層保護(hù)機(jī)制對(duì)應(yīng)起來，通過統(tǒng)計(jì)分析關(guān)鍵詞詞頻判斷待檢測(cè)腳本的危險(xiǎn)度，基于注冊(cè)表操作“自我集”的角度來分析判斷注冊(cè)表寫入表項(xiàng)路徑的異常行為，以及對(duì)應(yīng)用程序編程接口執(zhí)行序列進(jìn)行非我識(shí)別，最終將全部異常行為信息通過網(wǎng)絡(luò)發(fā)送到網(wǎng)絡(luò)控制臺(tái)，較好地解決了未知網(wǎng)絡(luò)病毒和惡意代碼的異常行為識(shí)別問題，對(duì)未知網(wǎng)絡(luò)病毒和惡意代碼的具較好的識(shí)別能力，實(shí)現(xiàn)了對(duì)單個(gè)系統(tǒng)及整個(gè)子網(wǎng)中的網(wǎng)絡(luò)病毒和惡意代碼異常行為的監(jiān)控和管理。如果對(duì)大量的惡意代碼樣本采用該方法進(jìn)行識(shí)別，分析和檢測(cè)的速度會(huì)很慢。本發(fā)明與以上兩個(gè)專利相比，不僅在監(jiān)控完成后，監(jiān)控軟件按照樣本對(duì)操作系統(tǒng)的操作和影響，進(jìn)行逆操作，恢復(fù)系統(tǒng)到運(yùn)行樣本前的狀態(tài)。還完成了惡意代碼智能分析技術(shù)，適用于大量樣本的無人工干預(yù)的分析，分析速度比較快，分析報(bào)告中的無用信息比較少。本發(fā)明的困難性在兩個(gè)地方。第一在本發(fā)明中，檢測(cè)惡意代碼樣本對(duì)文件，網(wǎng)絡(luò)， 注冊(cè)表，進(jìn)程所產(chǎn)生的影響是最重要的功能。必須在惡意代碼調(diào)用API的時(shí)候，對(duì)API的調(diào)用進(jìn)行攔截，提取出API調(diào)用的參數(shù)，對(duì)這些參數(shù)進(jìn)行解析，然后把這些信息傳送到監(jiān)控中心，最終生成惡意代碼樣本分析報(bào)告。第二本發(fā)明必須不需要人工的干預(yù)，自動(dòng)監(jiān)測(cè)惡意代碼樣本。在每個(gè)樣本運(yùn)行結(jié)束后，智能分析系統(tǒng)必須能夠恢復(fù)系統(tǒng)，然后自動(dòng)運(yùn)行下一個(gè)樣本，自動(dòng)生成惡意代碼樣本動(dòng)態(tài)監(jiān)控報(bào)告。

發(fā)明內(nèi)容
本發(fā)明是通過修改可執(zhí)行文件在內(nèi)存中映像的有關(guān)代碼，實(shí)現(xiàn)對(duì)API調(diào)用的動(dòng)態(tài)攔截，獲取代碼的API調(diào)用序列和參數(shù)，從而達(dá)到監(jiān)控惡意代碼對(duì)系統(tǒng)影響的目的。攔截 API的調(diào)用序列前需要安裝API鉤子(API Hook)。API鉤子由兩個(gè)模塊組成，一個(gè)是鉤子服務(wù)器(Hook Server)模塊，為EXE的形式；一個(gè)是鉤子驅(qū)動(dòng)器(Hook Driver)模塊，為DLL 的形式。鉤子服務(wù)器負(fù)責(zé)向目標(biāo)進(jìn)程注入鉤子驅(qū)動(dòng)器，使得鉤子驅(qū)動(dòng)器運(yùn)行在目標(biāo)進(jìn)程的地址空間中。而鉤子驅(qū)動(dòng)器則負(fù)責(zé)實(shí)際的API攔截處理工作，并返回?cái)r截結(jié)果，以便后續(xù)分析。在注入方式上，我們沒有采用注冊(cè)表注入和系統(tǒng)范圍的Windows鉤子，因?yàn)檫@兩種方式會(huì)使我們的系統(tǒng)性能嚴(yán)重下降，所以我們使用了 CreateRemoteThread函數(shù)在目標(biāo)進(jìn)程中建立并運(yùn)行一個(gè)遠(yuǎn)程線程的動(dòng)態(tài)鏈接庫(DLL)注入方式。首先得到遠(yuǎn)程進(jìn)程的句柄，在遠(yuǎn)程進(jìn)程中為我們自己的動(dòng)態(tài)鏈接庫文件名分配內(nèi)存，然后使用 CreateRemoteThread函數(shù)和LoadLibrary函數(shù)把我們的動(dòng)態(tài)鏈接庫映射進(jìn)遠(yuǎn)程進(jìn)程，這樣就實(shí)現(xiàn)了注入。在攔截機(jī)制上，我們先找到原先的API函數(shù)的地址，然后把該函數(shù)開始的幾個(gè)字節(jié)用一個(gè)JMP指令代替，從而使得對(duì)該API函數(shù)的調(diào)用能夠轉(zhuǎn)向我們自己的函數(shù)調(diào)用。本發(fā)明首先采用掛起的方式啟動(dòng)惡意代碼樣本程序。這樣惡意代碼進(jìn)程已經(jīng)創(chuàng)建，但是并沒有運(yùn)行。然后將網(wǎng)絡(luò)監(jiān)控模塊，注冊(cè)表監(jiān)控模塊，進(jìn)程監(jiān)控模塊和文件監(jiān)控模塊采用遠(yuǎn)程線程注入的方法注入到樣本進(jìn)程中去，對(duì)其進(jìn)行監(jiān)控。然后將惡意代碼進(jìn)程喚醒，讓其繼續(xù)運(yùn)行。惡意代碼對(duì)文件，網(wǎng)絡(luò)，注冊(cè)表，進(jìn)程等的操作，會(huì)被網(wǎng)絡(luò)監(jiān)控模塊，注冊(cè)表監(jiān)控模塊，進(jìn)程監(jiān)控模塊和文件監(jiān)控模塊攔截。各個(gè)模塊攔截到API后，對(duì)參數(shù)進(jìn)行解析，然后讓樣本調(diào)用真正的API執(zhí)行。監(jiān)控模塊將監(jiān)控信息通過socket發(fā)送到監(jiān)控中心， 監(jiān)控中心整理所有的信息，最終生成分析報(bào)告，并恢復(fù)系統(tǒng)到運(yùn)行樣本前的狀態(tài)。本專利系統(tǒng)主要包括監(jiān)控中心、4個(gè)監(jiān)控模塊和系統(tǒng)恢復(fù)模塊樣本監(jiān)控中心從收集到的數(shù)據(jù)中提取出一個(gè)樣本進(jìn)行運(yùn)行，實(shí)現(xiàn)dll的注入，對(duì)樣本主進(jìn)程及其創(chuàng)建的進(jìn)程線程進(jìn)行監(jiān)控，對(duì)監(jiān)控中反饋的信息進(jìn)行記錄，最終提交惡意代碼樣本動(dòng)態(tài)監(jiān)控報(bào)告，通過分析樣本動(dòng)態(tài)監(jiān)控報(bào)告中記錄的樣本對(duì)系統(tǒng)產(chǎn)生的影響情況，將系統(tǒng)恢復(fù)到運(yùn)行樣本前的狀態(tài)。監(jiān)控模塊(1)文件監(jiān)控模塊該模塊監(jiān)控樣本在系統(tǒng)中創(chuàng)建新的文件，修改文件，刪除文件的各種行為。將監(jiān)控模塊的dll注入到樣本進(jìn)程中，監(jiān)控CreateFileAO，feiteFileO， ReadFileO, DeleteFileO等文件操作API的調(diào)用情況，將樣本要?jiǎng)h除和修改的文件拷貝到系統(tǒng)備份目錄下，記錄樣本所創(chuàng)建的文件的完整路徑，將獲取的信息傳送給日志記錄模塊。(2)網(wǎng)絡(luò)監(jiān)控模塊監(jiān)控樣本對(duì)外連接的IP或URL，獲取發(fā)送或接收的數(shù)據(jù)，將從網(wǎng)絡(luò)上下載的文件存放在樣本監(jiān)控中心的目錄下，以便以后進(jìn)一步的分析處理。監(jiān)控socket建立的函數(shù)，以及sendO函數(shù)，監(jiān)控樣本對(duì)外連接的網(wǎng)絡(luò)地址端口等信息，以及發(fā)送的數(shù)據(jù)內(nèi)容。并把收集的內(nèi)容發(fā)送給日志記錄模塊。(3)注冊(cè)表監(jiān)控模塊監(jiān)控樣本對(duì)注冊(cè)表的添加，刪除，修改等情況，監(jiān)控 RegOpenEx ()，RegDeleteKey ()，RegSetValueEx ()，RegCreateKeyEx ()等注冊(cè)表操作 API 的調(diào)用情況，并把獲取的修改信息發(fā)送給日志模塊。(4)進(jìn)程監(jiān)控模塊監(jiān)控樣本是否創(chuàng)建新的進(jìn)程，或注入遠(yuǎn)線程到其他進(jìn)程中，監(jiān)控 CreateProcess ()，ResumeProcess ()，CreateRemoteThreadO 等進(jìn)程或線程操作 API 的調(diào)用情況，進(jìn)一步檢測(cè)子線程或子進(jìn)程的運(yùn)行情況，并把獲取的信息發(fā)送給日志模塊。系統(tǒng)恢復(fù)模塊(1)文件系統(tǒng)恢復(fù)通過分析日志報(bào)告將樣本在系統(tǒng)中創(chuàng)建的文件刪除，將樣本修改、刪除的文件從備份位置拷貝回原位置，使文件系統(tǒng)恢復(fù)到樣本運(yùn)行前的狀態(tài)。(2)注冊(cè)表恢復(fù)通過分析日志報(bào)告將樣本在系統(tǒng)注冊(cè)表中添加的表項(xiàng)刪除、將樣本修改、刪除的表項(xiàng)恢復(fù)成原鍵值，使系統(tǒng)注冊(cè)表恢復(fù)到樣本運(yùn)行前的狀態(tài)。(3)網(wǎng)絡(luò)端口恢復(fù)通過分析日志報(bào)告將樣本打開的端口關(guān)閉。(4)進(jìn)程恢復(fù)通過分析日志報(bào)告將樣本創(chuàng)建的進(jìn)程、線程結(jié)束，將樣本加載的 dll庫卸載。


圖1為本專利的具體流程圖；圖2為文件監(jiān)控模塊流程圖；圖3為系統(tǒng)恢復(fù)流程具體實(shí)施例方式下面結(jié)合附圖對(duì)本發(fā)明的技術(shù)方案作詳細(xì)說明。圖1顯示了具體執(zhí)行本發(fā)明的步驟圖，為了清楚地描述本發(fā)明，下面描述一個(gè)具體的實(shí)施例，細(xì)化圖1各步驟如下SlOl枚舉系統(tǒng)進(jìn)程，找到樣本進(jìn)程，采用遠(yuǎn)程線程注入的方式啟動(dòng)惡意代碼監(jiān)控系統(tǒng)，注冊(cè)和加載各個(gè)模塊S102當(dāng)一個(gè)樣本運(yùn)行完畢，分析完日志報(bào)告，系統(tǒng)還原后，檢測(cè)樣本集目錄中是否還有樣本，如果沒有則結(jié)束S103以suspend狀態(tài)啟動(dòng)樣本進(jìn)程，此時(shí)樣本進(jìn)程已經(jīng)創(chuàng)建，但是并沒有運(yùn)行S104通過使用遠(yuǎn)程線程注入的方式把文件監(jiān)控模塊，網(wǎng)絡(luò)監(jiān)控模塊，注冊(cè)表監(jiān)控模塊，進(jìn)程監(jiān)控模塊注入到樣本進(jìn)程中S105當(dāng)樣本進(jìn)程調(diào)用被監(jiān)控的創(chuàng)建文件、修改文件和刪除文件函數(shù)時(shí)，自動(dòng)啟動(dòng)文件監(jiān)控模塊S106當(dāng)樣本進(jìn)程調(diào)用被監(jiān)控的網(wǎng)絡(luò)數(shù)據(jù)接收和發(fā)送函數(shù)，對(duì)外連接IP和URL函數(shù)時(shí)，自動(dòng)啟動(dòng)網(wǎng)絡(luò)監(jiān)控模塊S107當(dāng)樣本進(jìn)程調(diào)用被監(jiān)控的注冊(cè)表添加、修改和刪除函數(shù)時(shí)，自動(dòng)啟動(dòng)注冊(cè)表監(jiān)控模塊
S108當(dāng)樣本進(jìn)程調(diào)用被監(jiān)控的進(jìn)程、線程創(chuàng)建函數(shù)、內(nèi)存修改函數(shù)時(shí)，自動(dòng)啟動(dòng)進(jìn)程監(jiān)控模塊S109解析監(jiān)控模塊發(fā)送過來的函數(shù)調(diào)用和參數(shù)信息，將信息以層次關(guān)系的方式記錄到日志報(bào)告中，日志報(bào)告格式為XML。SllO分析日志報(bào)告，將樣本對(duì)系統(tǒng)產(chǎn)生的影響以逆序的方式使系統(tǒng)還原到樣本運(yùn)行前的狀態(tài)不難發(fā)現(xiàn)本發(fā)明專利中主要使用由惡意代碼自動(dòng)分析系統(tǒng)從收集到的大量樣本中，分析出樣本對(duì)系統(tǒng)的影響，最終生成樣本分析報(bào)告。最終的分析報(bào)告保存在樣本報(bào)告庫中。圖2顯示了監(jiān)控模塊的具體工作過程，下面描述一個(gè)具體的實(shí)施例，細(xì)化圖2各步驟如下S201根據(jù)被監(jiān)控函數(shù)的函數(shù)原型，創(chuàng)建需要被監(jiān)控的函數(shù)的監(jiān)控函數(shù)S202通過解析樣本進(jìn)程調(diào)用的動(dòng)態(tài)鏈接庫，獲取我們需要監(jiān)控的函數(shù)的地址S203獲得我們自己編寫的監(jiān)控函數(shù)的地址S204初始化鉤子函數(shù)的時(shí)候，讀取并保存該函數(shù)的頭5個(gè)字節(jié)S205將被監(jiān)控函數(shù)的頭5個(gè)字節(jié)修改成jump匯編指令，使該函數(shù)能跳到我們自己編寫的監(jiān)控函數(shù)S206調(diào)用被hook的函數(shù)時(shí)，程序會(huì)轉(zhuǎn)到并執(zhí)行我們自己編寫的監(jiān)控函數(shù)S207記錄傳入被監(jiān)控函數(shù)的各項(xiàng)參數(shù)S208解析各項(xiàng)參數(shù)值，并保存到日志報(bào)告S209將被監(jiān)控函數(shù)的頭5個(gè)字節(jié)重新恢復(fù)成原值，使鉤子函數(shù)中可以正常使用該函數(shù)。S210調(diào)用被監(jiān)控的函數(shù)，記錄返回值S211將被監(jiān)控函數(shù)的頭5個(gè)字節(jié)改回成jump匯編指令，以便當(dāng)該函數(shù)再次被調(diào)用時(shí)能夠再一次被掛鉤圖3表示系統(tǒng)恢復(fù)功能的具體過程，主要是要消除惡意代碼樣本運(yùn)行后對(duì)系統(tǒng)的影響，使下一個(gè)樣本的監(jiān)控信息更加準(zhǔn)確。它包含了以下步驟S301當(dāng)檢測(cè)到樣本進(jìn)程退出時(shí)，或者樣本運(yùn)行15分鐘后，將監(jiān)控完成標(biāo)志置為真，此時(shí)監(jiān)控完成S302卸載注入的監(jiān)控模塊S303終止樣本創(chuàng)建的進(jìn)程和線程、卸載dll庫S304分析日志報(bào)告，將樣本在系統(tǒng)中創(chuàng)建的文件刪除，將樣本修改、刪除的文件從備份位置拷貝回原位置，使文件系統(tǒng)恢復(fù)到樣本運(yùn)行前的狀態(tài)S305分析日志報(bào)告，將樣本在系統(tǒng)注冊(cè)表中添加的表項(xiàng)刪除、將樣本修改、刪除的表項(xiàng)恢復(fù)成原鍵值，使系統(tǒng)注冊(cè)表恢復(fù)到樣本運(yùn)行前的狀態(tài)S306分析日志報(bào)告，將樣本打開的端口關(guān)閉S307查找樣本集目錄，找到創(chuàng)建時(shí)間最早的一個(gè)樣本，以suspend狀態(tài)啟動(dòng)樣本進(jìn)程并進(jìn)行監(jiān)控
雖然本說明書只描述了所述方法的細(xì)節(jié)，而未更多地談及本發(fā)明的應(yīng)用，但由于基于ΑΡΙΗ00Κ的惡意代碼自動(dòng)分析方法和系統(tǒng)在惡意代碼研究中的重要價(jià)值，其應(yīng)用面是非常廣泛的，所以，本發(fā)明的精神和范圍不應(yīng)該局限于此處所描述的實(shí)施例。
權(quán)利要求
1.一種基于API HOOK的惡意代碼自動(dòng)分析方法和系統(tǒng)，利用API鉤子技術(shù)和遠(yuǎn)線程注入技術(shù)，對(duì)樣本進(jìn)行監(jiān)控。記錄惡意代碼運(yùn)行過程中對(duì)整個(gè)系統(tǒng)的影響，并自動(dòng)生成動(dòng)態(tài)分析報(bào)告，記錄惡意代碼樣本對(duì)文件，網(wǎng)絡(luò)，注冊(cè)表，進(jìn)程所產(chǎn)生的影響，當(dāng)樣本運(yùn)行結(jié)束后，將系統(tǒng)恢復(fù)到樣本執(zhí)行前的狀態(tài)。這種基于ΑΡΙΗ00Κ的惡意代碼自動(dòng)分析方法和系統(tǒng)主要使用由惡意代碼自動(dòng)分析系統(tǒng)從收集到的大量樣本中，分析出樣本對(duì)系統(tǒng)的影響，最終生成樣本分析報(bào)告，最終的分析報(bào)告保存在樣本報(bào)告庫中。這個(gè)系統(tǒng)包括以下模塊監(jiān)控中心、4個(gè)監(jiān)控模塊(文件監(jiān)控、網(wǎng)絡(luò)監(jiān)控、注冊(cè)表監(jiān)控、進(jìn)程監(jiān)控)和系統(tǒng)恢復(fù)模塊。
2.如權(quán)利1所述的基于APIHOOK的惡意代碼自動(dòng)分析方法和系統(tǒng)，其特征在于，監(jiān)控軟件每次只運(yùn)行一個(gè)樣本，對(duì)樣本主進(jìn)程及其創(chuàng)建的進(jìn)程線程進(jìn)行監(jiān)控，監(jiān)控完畢后，恢復(fù)系統(tǒng)到樣本運(yùn)行前的狀態(tài)。不需要人工的干預(yù)，自動(dòng)監(jiān)測(cè)惡意代碼樣本。
3.如權(quán)利1所述的基于APIHOOK的惡意代碼自動(dòng)分析方法和系統(tǒng)，其特征在于，需要檢測(cè)惡意代碼樣本對(duì)文件，網(wǎng)絡(luò)，注冊(cè)表，進(jìn)程所產(chǎn)生的影響。檢測(cè)惡意代碼樣本對(duì)文件的創(chuàng)建，刪除，修改等行為；檢測(cè)惡意代碼樣本對(duì)網(wǎng)絡(luò)的操作行為；檢測(cè)惡意代碼樣本對(duì)注冊(cè)表添加，刪除和修改等行為。檢測(cè)惡意代碼樣本創(chuàng)建進(jìn)程的操作行為。最終提交惡意代碼樣本動(dòng)態(tài)監(jiān)控報(bào)告。
4.如權(quán)利1所述的基于APIHOOK的惡意代碼自動(dòng)分析方法和系統(tǒng)，其特征在于，適用于大量樣本的無人工干預(yù)的分析，分析速度比較快，分析報(bào)告中的無用信息比較少。
5.如權(quán)利2所述的基于APIHOOK的惡意代碼自動(dòng)分析方法和系統(tǒng)，其特征在于，監(jiān)控完成后，監(jiān)控軟件按照樣本對(duì)操作系統(tǒng)的操作和影響，進(jìn)行逆操作，恢復(fù)系統(tǒng)到運(yùn)行樣本前的狀態(tài)。
6.如權(quán)利3所述的基于APIHOOK的惡意代碼自動(dòng)分析方法和系統(tǒng)，其特征在于，要能智能的監(jiān)控樣本文件的行為特征，比如文件操作行為，注冊(cè)表操作行為，網(wǎng)絡(luò)操作行為和進(jìn)程操作行為，并自動(dòng)生成樣本文件動(dòng)態(tài)分析報(bào)告。通過對(duì)動(dòng)態(tài)報(bào)告的分析，判斷出樣本是否為惡意代碼。
7.如權(quán)利3所述的基于APIHOOK的惡意代碼自動(dòng)分析方法和系統(tǒng)，其特征在于，由于檢測(cè)惡意代碼樣本對(duì)文件，網(wǎng)絡(luò)，注冊(cè)表，進(jìn)程所產(chǎn)生的影響是最重要的功能，所以必須在惡意代碼調(diào)用API的時(shí)候，對(duì)API的調(diào)用進(jìn)行攔截，提取出API調(diào)用的參數(shù)，對(duì)這些參數(shù)進(jìn)行解析，然后把這些信息傳送到監(jiān)控中心，最終生成惡意代碼樣本分析報(bào)告。
8.如權(quán)利5所述的基于APIHOOK的惡意代碼自動(dòng)分析方法和系統(tǒng)，其特征在于，必須在不需要人工的干預(yù)，自動(dòng)監(jiān)測(cè)惡意代碼樣本。在每個(gè)樣本運(yùn)行結(jié)束后，智能分析系統(tǒng)必須能夠恢復(fù)系統(tǒng)，然后自動(dòng)運(yùn)行下一個(gè)樣本，自動(dòng)生成惡意代碼樣本動(dòng)態(tài)監(jiān)控報(bào)告。
全文摘要
本發(fā)明利用API鉤子技術(shù)和遠(yuǎn)線程注入技術(shù)，對(duì)樣本進(jìn)行監(jiān)控。記錄惡意代碼運(yùn)行過程中對(duì)整個(gè)系統(tǒng)的影響，并自動(dòng)生成動(dòng)態(tài)分析報(bào)告，記錄惡意代碼樣本對(duì)文件，網(wǎng)絡(luò)，注冊(cè)表，進(jìn)程所產(chǎn)生的影響，當(dāng)樣本運(yùn)行結(jié)束后，將系統(tǒng)恢復(fù)到樣本執(zhí)行前的狀態(tài)。整個(gè)監(jiān)控、記錄和還原的過程不需要人工的干預(yù)，自動(dòng)完成。監(jiān)控軟件每次只運(yùn)行一個(gè)樣本，對(duì)樣本主進(jìn)程及其創(chuàng)建的進(jìn)程線程進(jìn)行監(jiān)控，監(jiān)控完畢后，恢復(fù)系統(tǒng)到樣本運(yùn)行前的狀態(tài)。檢測(cè)惡意代碼樣本對(duì)文件的創(chuàng)建，刪除，修改等行為；檢測(cè)惡意代碼樣本對(duì)網(wǎng)絡(luò)的操作行為；檢測(cè)惡意代碼樣本對(duì)注冊(cè)表添加，刪除和修改等行為。檢測(cè)惡意代碼樣本創(chuàng)建進(jìn)程的操作行為。最終提交惡意代碼樣本動(dòng)態(tài)監(jiān)控報(bào)告。監(jiān)控完成后，監(jiān)控軟件按照樣本對(duì)操作系統(tǒng)的操作和影響，進(jìn)行逆操作，恢復(fù)系統(tǒng)到運(yùn)行樣本前的狀態(tài)。本發(fā)明提到的惡意代碼智能分析技術(shù)，適用于大量樣本的無人工干預(yù)的分析，分析速度比較快，分析報(bào)告中的無用信息比較少。
文檔編號(hào)G06F21/00GK102314561SQ20101021506
公開日2012年1月11日 申請(qǐng)日期2010年7月1日 優(yōu)先權(quán)日2010年7月1日
發(fā)明者余圣, 周世杰, 周佩穎, 秦志光, 陳晉福, 陳陪 申請(qǐng)人:電子科技大學(xué)