国产精品1024永久观看,大尺度欧美暖暖视频在线观看,亚洲宅男精品一区在线观看,欧美日韩一区二区三区视频,2021中文字幕在线观看

  • <option id="fbvk0"></option>
    1. <rt id="fbvk0"><tr id="fbvk0"></tr></rt>
      <center id="fbvk0"><optgroup id="fbvk0"></optgroup></center>
      <center id="fbvk0"></center>

      <li id="fbvk0"><abbr id="fbvk0"><dl id="fbvk0"></dl></abbr></li>

      一種基于pdb調(diào)試信息的惡意代碼分析方法及系統(tǒng)的制作方法

      文檔序號(hào):9727674閱讀:651來源:國(guó)知局
      一種基于pdb調(diào)試信息的惡意代碼分析方法及系統(tǒng)的制作方法
      【專利說明】一種基于PDB調(diào)試信息的惡意代碼分析方法及系統(tǒng)
      [0001]
      技術(shù)領(lǐng)域
      [0002]本發(fā)明涉及網(wǎng)絡(luò)信息安全領(lǐng)域,尤其涉及一種基于PDB調(diào)試信息的惡意代碼分析方法及系統(tǒng)。
      【背景技術(shù)】
      [0003]惡意代碼中會(huì)包含生成過程中產(chǎn)生的調(diào)試信息,以PDB文件形式存在。程序數(shù)據(jù)庫(PDB)文件保存著調(diào)試以及樣本狀態(tài)等信息,根據(jù)從PE文件中提取的調(diào)試路徑分析樣本,獲得一些有價(jià)值的信息,如用戶名、樣本路徑、樣本名稱等,有助于對(duì)惡意樣本的進(jìn)一步分析提供線索。
      [0004]調(diào)試信息通常獨(dú)立于PE程序存儲(chǔ),通常存儲(chǔ)為PDB或DBG文件。程序數(shù)據(jù)庫(TOB)文件保存著應(yīng)用程序二進(jìn)制文件的調(diào)試和項(xiàng)目狀態(tài)信息,記錄了所有的變量、主信息表的相對(duì)位置及大小,這些表可保存資源、導(dǎo)入、導(dǎo)出、重定位、調(diào)試、線程本地存儲(chǔ)及COM運(yùn)行時(shí)的有關(guān)信息。調(diào)試信息會(huì)幫助調(diào)試者分析被調(diào)試程序的內(nèi)部布局,當(dāng)程序重新編譯時(shí),調(diào)試信息可以正確的反映出變量和函數(shù)的修改,使用這些信息可以對(duì)程序的調(diào)試配置進(jìn)行增量鏈接。

      【發(fā)明內(nèi)容】

      [0005]本發(fā)明提供了一種基于PDB調(diào)試信息的惡意代碼分析方法及系統(tǒng),通過獲取惡意樣本的PDB信息,并進(jìn)行拆分處理后得到黑樣本庫,從而輔助惡意代碼的深入檢測(cè)和分析。
      [0006]本發(fā)明采用如下方法來實(shí)現(xiàn):一種基于PDB調(diào)試信息的惡意代碼分析方法,包括: 提取惡意樣本的PDB彳目息;
      拆分所述PDB信息,獲取相關(guān)的統(tǒng)計(jì)信息;
      提取常用操作系統(tǒng)和常用軟件的PDB信息,并拆分后生成白樣本庫;
      利用白樣本庫對(duì)所述統(tǒng)計(jì)信息進(jìn)行過濾后生成黑樣本庫;
      輸出白樣本庫和黑樣本庫用于惡意代碼分析。
      [0007]進(jìn)一步地,所述提取惡意樣本的PDB信息包括:基于已知樣本的PE文件結(jié)構(gòu)提取PDB信息和基于未知樣本的totalhash提取PDB信息。
      [0008]進(jìn)一步地,所述基于已知樣本的PE文件結(jié)構(gòu)提取PDB信息包括:分析PE文件結(jié)構(gòu),獲取調(diào)試目錄地址;基于調(diào)試目錄查找PDB信息入口,并獲取PDB信息。
      [0009]進(jìn)一步地,所述分析PE文件結(jié)構(gòu),獲取調(diào)試目錄地址具體為:分析PE文件結(jié)構(gòu),查找PE文件的可選頭入口 ;獲取調(diào)試目錄的虛擬地址和大??;基于調(diào)試目錄的虛擬地址,獲取調(diào)試目錄的物理地址。
      [0010]進(jìn)一步地,所述統(tǒng)計(jì)信息包括:惡意樣本相關(guān)的路徑、家族名、程序名或者作者。
      [0011]本發(fā)明采用如下系統(tǒng)來實(shí)現(xiàn):一種基于PDB調(diào)試信息的惡意代碼分析系統(tǒng),包括: PDB信息提取模塊,用于提取惡意樣本的PDB信息;
      統(tǒng)計(jì)信息獲取模塊,用于拆分所述PDB信息,獲取相關(guān)的統(tǒng)計(jì)信息;
      白樣本庫生成模塊,用于提取常用操作系統(tǒng)和常用軟件的PDB信息,并拆分后生成白樣本庫;
      黑樣本庫生成模塊,用于利用白樣本庫對(duì)所述統(tǒng)計(jì)信息進(jìn)行過濾后生成黑樣本庫; 輸出模塊,用于輸出白樣本庫和黑樣本庫用于惡意代碼分析。
      [0012]進(jìn)一步地,所述PDB信息提取模塊具體用于:基于已知樣本的PE文件結(jié)構(gòu)提取PDB信息和基于未知樣本的totalhash提取PDB信息。
      [0013]進(jìn)一步地,所述基于已知樣本的PE文件結(jié)構(gòu)提取roB信息包括:分析PE文件結(jié)構(gòu),獲取調(diào)試目錄地址;基于調(diào)試目錄查找PDB信息入口,并獲取PDB信息。
      [0014]進(jìn)一步地,所述分析PE文件結(jié)構(gòu),獲取調(diào)試目錄地址具體為:分析PE文件結(jié)構(gòu),查找PE文件的可選頭入口 ;獲取調(diào)試目錄的虛擬地址和大??;基于調(diào)試目錄的虛擬地址,獲取調(diào)試目錄的物理地址。
      [0015]進(jìn)一步地,所述統(tǒng)計(jì)信息包括:惡意樣本相關(guān)的路徑、家族名、程序名或者作者。
      [0016]綜上所述,本發(fā)明提供了一種基于PDB調(diào)試信息的惡意代碼分析方法及系統(tǒng),本發(fā)明所提供的技術(shù)方案,首先,提取惡意樣本的PDB信息,并對(duì)所述PDB信息進(jìn)行拆分,獲取統(tǒng)計(jì)信息;基于已知常用的操作系統(tǒng)和常用軟件的PDB信息,進(jìn)行拆分后生成白樣本庫;將獲取的統(tǒng)計(jì)信息基于白樣本庫進(jìn)行過濾后,生成黑樣本庫;所述白樣本庫和黑樣本庫將用于輔助惡意代碼樣本的檢測(cè)和深入分析。
      [0017]本發(fā)明的有益效果為:本發(fā)明的技術(shù)方案通過提取與惡意樣本相關(guān)的調(diào)試信息,從而獲取環(huán)境信息、病毒文件名、作者等信息,基于大量的惡意樣本的PDB信息做關(guān)聯(lián)分析,從而獲取病毒家族或者病毒樣本間的關(guān)聯(lián)信息,有利于更加深入的分析惡意代碼。
      【附圖說明】
      [0018]為了更清楚地說明本發(fā)明的技術(shù)方案,下面將對(duì)實(shí)施例中所需要使用的附圖作簡(jiǎn)單地介紹,顯而易見地,下面描述中的附圖僅僅是本發(fā)明中記載的一些實(shí)施例,對(duì)于本領(lǐng)域普通技術(shù)人員來講,在不付出創(chuàng)造性勞動(dòng)的前提下,還可以根據(jù)這些附圖獲得其他的附圖。
      [0019]圖1為本發(fā)明提供的一種基于PDB調(diào)試信息的惡意代碼分析方法實(shí)施例流程圖; 圖2為本發(fā)明提供的一種基于PDB調(diào)試信息的惡意代碼分析系統(tǒng)實(shí)施例結(jié)構(gòu)圖。
      【具體實(shí)施方式】
      [0020]本發(fā)明給出了一種基于PDB調(diào)試信息的惡意代碼分析方法及系統(tǒng)的實(shí)施例,為了使本技術(shù)領(lǐng)域的人員更好地理解本發(fā)明實(shí)施例中的技術(shù)方案,并使本發(fā)明的上述目的、特征和優(yōu)點(diǎn)能夠更加明顯易懂,下面結(jié)合附圖對(duì)本發(fā)明中技術(shù)方案作進(jìn)一步詳細(xì)的說明:
      本發(fā)明首先提供了一種基于PDB調(diào)試信息的惡意代碼分析方法實(shí)施例,如圖1所示,包括:
      S101提取惡意樣本的PDB信息;
      S102拆分所述PDB信息,獲取相關(guān)的統(tǒng)計(jì)信息;
      S103提取常用操作系統(tǒng)和常用軟件的PDB信息,并拆分后生成白樣本庫; 其中,所述常用操作系統(tǒng)包括:windows xp、windows 7、linux等常用的操作系統(tǒng); S104利用白樣本庫對(duì)所述統(tǒng)計(jì)信息進(jìn)行過濾后生成黑樣本庫;
      其中,所述過濾方式可以為:利用pdb全路徑或者推斷程序名為基準(zhǔn)進(jìn)行過濾;
      S105輸出白樣本庫和黑樣本庫用于惡意代碼分析。
      [0021]其中,所述白樣本庫和黑樣本庫的形式為,但不限于這一種形式:
      Struct PDB_Black (或者 Struct PDB_ffHITE):
      {
      Pdb_name; //名稱或路徑 Number of samples;//樣本個(gè)數(shù) MD5 of samples;//樣本 MD5
      }
      “net1ugc.pdf”: {
      “count”:9,
      “md5”:[
      “8cefae2396730128c0d88f97288e31e8d9b2365f”
      “8cefae2396730128c0d88f97288e31e8d9b2365f”
      “8cefae2396730128c0d88f97288e31e8d9b2365f”
      ]
      優(yōu)選地,所述提取惡意樣本的PDB信息包括:基于已知樣本的PE文件結(jié)構(gòu)提取PDB信息和基于未知樣本的totalhash提取PDB信息。
      [0022]其中,所述基于未知樣本的totalhash提取PDB信息包括:采用網(wǎng)頁爬蟲方式,根據(jù)MD5值從totalhash的pdb搜索結(jié)果中收集html報(bào)告,進(jìn)而抓取pdb信息及相關(guān)屬性。
      [0023]優(yōu)選地,所述基于已知樣本的PE文件結(jié)構(gòu)提取PDB信息包括:分析PE文件結(jié)構(gòu),獲取調(diào)試目錄地址;基于調(diào)試目錄查找PDB信息入口,并獲取PDB信息。
      [0024]優(yōu)選地,所述分析PE文件結(jié)構(gòu),獲取調(diào)試目錄地址具體為:分析PE文件結(jié)構(gòu),查找PE文件的可選頭入口 ;獲取調(diào)試目錄的虛擬地址和大小;基于調(diào)試目錄的虛擬地址,獲取調(diào)試目錄的物理地址。
      [0025]其中,分析PE文件結(jié)構(gòu),查找PE文件的可選頭入口,遍歷可選頭末尾的DataDirectory 成員;
      進(jìn)而查
      當(dāng)前第1頁1 2 
      網(wǎng)友詢問留言 已有0條留言
      • 還沒有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
      1