【技術領域】

本發明涉及計算機安全技術領域，特別涉及一種自動采集惡意軟件的方法和裝置。

【背景技術】

隨著計算機技術的不斷發展，計算機網絡已經成為人們獲取信息的主要工具，隨之而來的是對計算機安全技術需求的不斷提高。計算機病毒、木馬、惡意軟件和惡意代碼是近幾年來計算機網絡面對的主要安全威脅，其中用戶在瀏覽掛馬網頁之后往往會自動安裝一些惡意軟件，為了方便對惡意軟件進行預防和分析，并進一步應用于掛馬檢測系統和惡意軟件分布式研究，需要解決惡意軟件的采集問題。

現有對惡意軟件的采集主要通過以下兩種方式實現：

其一、通過用戶舉報的方式，采集用戶舉報的惡意軟件。這種方式依賴于用戶的識別能力，無法實現惡意軟件的自動采集，效率低下。

其二、通過在用戶端設備上部署客戶端來進行大規模樣本采集工作，即通過匹配預設的惡意軟件的靜態特征實現惡意軟件的采集。這種方式雖然實現了惡意軟件的自動采集，但需要部署規模龐大的客戶端，難度和成本很高，且基于靜態特征的方式對于采用變形手段的惡意軟件容易失效，可靠性和檢出率較低。

【發明內容】

本發明提供了一種自動采集惡意軟件的方法和裝置，以便于提高惡意軟件自動采集的可靠性和檢出率。

具體技術方案如下：

一種自動采集惡意軟件的方法，該方法包括：

S1、通過模擬瀏覽器掃描網頁，識別并抓取所掃描網頁的惡意代碼；

S2、通過構建惡意代碼執行環境來執行抓取到的惡意代碼，得到惡意軟件。

根據本發明一優選實施例，所述步驟S1中識別所掃描網頁的惡意代碼具體包括：

S11、對所掃描網頁的腳本進行解析，在解析過程中如果通過預先對預設的用于編寫shellcode的函數所掛的函數鉤子獲取到對應函數在內存中產生的二進制數據，則執行步驟A12、步驟B12或者步驟C12；

所述步驟A12為：對所述二進制數據與預先設置的黑名單進行匹配，如果匹配上，則檢測到惡意代碼，其中所述黑名單包括：nop指令頭；

所述步驟B12為：對所述二進制數據進行反匯編檢測，如果在反匯編過程中檢測到自定位代碼，則檢測到惡意代碼；

所述步驟C12為：對所述二進制數據進行高危字節碼統計，如果高危字節碼的數量超過預設的高危字節碼數量閾值，則檢測到惡意代碼。

根據本發明一優選實施例，如果檢測到惡意代碼，則結束對所述待檢測網頁腳本的解析，否則轉至所述步驟S11對所述待檢測網頁腳本繼續進行解析。

根據本發明一優選實施例，在執行所述步驟A12確定沒有匹配上時，進一步執行所述步驟B12或步驟C12。

根據本發明一優選實施例，在執行所述步驟B12確定在反匯編過程中沒有檢測到自定位代碼時，進一步執行所述步驟C12。

根據本發明一優選實施例，所述自定位代碼包括：過程調用call指令代碼、出棧pop指令代碼、浮點檢查保護環境FSTENV指令代碼以及高強度加花SEH指令代碼中的至少一種。

根據本發明一優選實施例，所述高危字節碼包括：不可見字符和堆噴射常用地址中的至少一種。

根據本發明一優選實施例，在所述步驟S11之前還包括：

S01、新建一個瀏覽器IE控件進程，并對預設的用于編寫shellcode的函數掛函數鉤子。

根據本發明一優選實施例，所述用于編寫shellcode的函數包括：javascript類型腳本的用于轉義的/u函數、用于字符串解碼的unescape函數或者用于返回ASCII值表示的字符串的string.fromcharcode函數，vbscript類型腳本的unescape函數、string.fromcharcode函數或者用于返回與指定字符代碼相關聯的字符的chrw函數中的至少一種。

根據本發明一優選實施例，所述步驟S2具體包括：

S21、通過對創建文件函數所掛的函數鉤子，在確定抓取的惡意代碼執行了創建文件操作時，將創建文件操作的路徑參數替換為指定的路徑；以及，將所述抓取的惡意代碼覆蓋一個正常程序的地址空間；

S22、在虛擬機中執行所述抓取的惡意代碼，得到惡意軟件。

一種自動采集惡意軟件的裝置，該裝置包括：

網頁掃描單元，用于通過模擬瀏覽器掃描網頁；

惡意代碼識別單元，用于識別并抓取所述網頁掃描單元所掃描網頁的惡意代碼；