技術(shù)領(lǐng)域

本發(fā)明涉及惡意程序動(dòng)態(tài)行為自動(dòng)化分析系統(tǒng)與方法，屬于系統(tǒng)安全和網(wǎng)絡(luò)安全相關(guān)領(lǐng)域。本發(fā)明用于對(duì)未知惡意程序動(dòng)態(tài)行為的粗粒度分析。

背景技術(shù)

未知二進(jìn)制程序的動(dòng)態(tài)行為分析是一項(xiàng)挑戰(zhàn)性的任務(wù)，它將提供對(duì)構(gòu)建未知軟件的核心結(jié)構(gòu)、功能藍(lán)圖需要的關(guān)鍵信息。當(dāng)前有關(guān)未知二進(jìn)制程序分析的研究大都為手動(dòng)分析方法。

未知二進(jìn)制程序的手動(dòng)分析通過(guò)人工的調(diào)試追蹤來(lái)發(fā)現(xiàn)程序內(nèi)部的功能，這對(duì)分析人員的經(jīng)驗(yàn)和能力有很高的要求，在通常情況下的分析結(jié)果均不完善。隨著惡意程序的不斷改進(jìn)，功能也更加復(fù)雜，伴隨著代碼的急劇增加。這給傳統(tǒng)的手動(dòng)分析帶來(lái)了巨大的挑戰(zhàn)。同時(shí)，傳統(tǒng)的人工調(diào)試技術(shù)對(duì)惡意二進(jìn)制程序的分析面臨很多困難，其中最主要的就是無(wú)法完全掌握程序的執(zhí)行控制流范圍，使得惡意程序的很多代碼都是在調(diào)試器無(wú)法追蹤的情況下執(zhí)行的。

因此，當(dāng)前迫切需要一種新的自動(dòng)化且高效的二進(jìn)制程序惡意行為自動(dòng)化分析系統(tǒng)。該自動(dòng)化分析系統(tǒng)采用代碼虛擬執(zhí)行環(huán)境，針對(duì)目標(biāo)二進(jìn)制代碼流進(jìn)行切片與執(zhí)行。不僅能完全控制目標(biāo)程序的運(yùn)行指令，并且具有很高的性能和運(yùn)行效率。同時(shí)，支持對(duì)進(jìn)程/線程行為、內(nèi)存訪問(wèn)行為、文件系統(tǒng)訪問(wèn)行為、注冊(cè)表系統(tǒng)訪問(wèn)行為和網(wǎng)絡(luò)訪問(wèn)行為的有效分析，并提供詳細(xì)的分析報(bào)告。

發(fā)明內(nèi)容

有鑒于此，本發(fā)明的目的是提供自動(dòng)化的惡意程序動(dòng)態(tài)行為分析系統(tǒng)和方法。目標(biāo)是提供一個(gè)的高效的分析平臺(tái)，它支持對(duì)惡意程序執(zhí)行的完全監(jiān)控，提供對(duì)進(jìn)程、內(nèi)存、文件、注冊(cè)表、網(wǎng)絡(luò)等各類(lèi)系統(tǒng)資源的惡意訪問(wèn)行為。同時(shí)，針對(duì)大量的行為記錄，經(jīng)過(guò)專(zhuān)業(yè)的分析處理，得到詳細(xì)的分析報(bào)告，有助于提供針對(duì)惡意代碼的主動(dòng)防御與手動(dòng)卸載方法。

為了達(dá)到上述目的，本發(fā)明提供了一種惡意程序動(dòng)態(tài)行為自動(dòng)化分析系統(tǒng)，其特征在于：該引擎包括了下述組成部件：

初始化部件：惡意行為自動(dòng)化分析系統(tǒng)首先在監(jiān)控方式下啟動(dòng)被分析的未知二進(jìn)制程序，并將虛擬執(zhí)行部件遠(yuǎn)程注入到目標(biāo)二進(jìn)制程序進(jìn)程空間內(nèi)，并初始化虛擬執(zhí)行部件。同時(shí)，加載行為監(jiān)控部件，其中包含有默認(rèn)的惡意行為規(guī)則庫(kù)。可通過(guò)用戶接口添加、刪除和修改行為規(guī)則庫(kù)中的內(nèi)容。

反匯編部件：虛擬執(zhí)行系統(tǒng)獲取目標(biāo)二進(jìn)制程序的代碼流，由反匯編部件生成對(duì)應(yīng)的匯編代碼，逐條分析得到的匯編指令。虛擬執(zhí)行部件將目標(biāo)代碼流分解成多個(gè)指令集，以模擬代碼流正常執(zhí)行的方式執(zhí)行基本塊中的每條指令，該過(guò)程實(shí)現(xiàn)局部代碼執(zhí)行，而指令集則組成了虛擬執(zhí)行的基本塊。每個(gè)基本塊是沒(méi)有包含分支語(yǔ)句的指令序列，在滿足以下條件時(shí)結(jié)束代碼流切片：無(wú)條件控制轉(zhuǎn)移指令；條件控制轉(zhuǎn)移指令；指定數(shù)量的非控制轉(zhuǎn)移指令。反匯編部件用于動(dòng)態(tài)構(gòu)建與目標(biāo)代碼流相一致的虛擬執(zhí)行基本塊。

虛擬執(zhí)行部件：虛擬執(zhí)行部件的結(jié)構(gòu)組成包括：基本塊生成模塊，基本塊緩存模塊，基本塊預(yù)處理模塊和虛擬執(zhí)行部件。基本塊生成模塊調(diào)用反匯編部件，對(duì)獲取的二進(jìn)制代碼流進(jìn)行分析，生成不包含控制轉(zhuǎn)移指令的基本塊。這就使得目標(biāo)代碼流的所有執(zhí)行都能夠保持在虛擬執(zhí)行系統(tǒng)的控制范圍內(nèi)。為提高運(yùn)行效率進(jìn)行相應(yīng)的執(zhí)行預(yù)處理，生成的基本塊經(jīng)過(guò)執(zhí)行預(yù)處理后存放在基本塊緩存內(nèi)。只有存在于基本塊緩存內(nèi)的代碼指令才能執(zhí)行，原始的目標(biāo)代碼流不能直接執(zhí)行。基本塊預(yù)處理模塊為了提升系統(tǒng)的運(yùn)行性能，采用了基本塊結(jié)合技術(shù)和標(biāo)準(zhǔn)代碼忽略技術(shù)，以此減小運(yùn)行時(shí)的延遲。

行為監(jiān)控部件：惡意行為自動(dòng)化分析系統(tǒng)針對(duì)虛擬執(zhí)行部件生成的每個(gè)基本塊，判斷其中是否存在有規(guī)則庫(kù)中的惡意行為指令。若不存在，則由虛擬執(zhí)行部件虛擬執(zhí)行各條指令。若存在，則將控制權(quán)轉(zhuǎn)移給行為分析部件，由此記錄下該惡意行為，之后再將控制權(quán)返回給虛擬執(zhí)行部件。行為監(jiān)控部件的惡意行為對(duì)象組成包括：進(jìn)程/線程行為模塊，內(nèi)存空間訪問(wèn)行為模塊，文件系統(tǒng)訪問(wèn)行為模塊，注冊(cè)表系統(tǒng)訪問(wèn)行為模塊，網(wǎng)絡(luò)系統(tǒng)訪問(wèn)行為模塊等。進(jìn)程/線程模塊包括了進(jìn)程創(chuàng)建行為，進(jìn)程結(jié)束行為，遠(yuǎn)程線程創(chuàng)建行為，遠(yuǎn)程線程結(jié)束行為，進(jìn)程懸掛行為，進(jìn)程激活行為，線程懸掛行為，線程激活行為，進(jìn)程優(yōu)先級(jí)改變行為，以及進(jìn)程調(diào)試行為，動(dòng)態(tài)鏈接庫(kù)加載行為，驅(qū)動(dòng)程序加載行為等。內(nèi)存空間訪問(wèn)行為模塊包括直接訪問(wèn)物理內(nèi)存行為，遠(yuǎn)程進(jìn)程內(nèi)存空間訪問(wèn)行為等。文件系統(tǒng)訪問(wèn)行為模塊主要包括文件的創(chuàng)建行為，刪除行為，修改行為等。注冊(cè)表系統(tǒng)訪問(wèn)行為模塊主要包括注冊(cè)表的鍵和值的創(chuàng)建行為，刪除行為和修改行為等。網(wǎng)絡(luò)系統(tǒng)訪問(wèn)行為模塊包括遠(yuǎn)程網(wǎng)絡(luò)的主動(dòng)連接行為，本地網(wǎng)絡(luò)的監(jiān)聽(tīng)行為等。