[發明專利]惡意程序控制指令識別方法及裝置有效
| 申請號: | 201310007680.5 | 申請日: | 2013-01-09 |
| 公開(公告)號: | CN103914652B | 公開(公告)日: | 2018-05-22 |
| 發明(設計)人: | 王志;鄒贊;張曉康;賈春福;劉露 | 申請(專利權)人: | 騰訊科技(深圳)有限公司;南開大學 |
| 主分類號: | G06F21/56 | 分類號: | G06F21/56 |
| 代理公司: | 廣州華進聯合專利商標代理有限公司 44224 | 代理人: | 何平 |
| 地址: | 518044 廣東省深圳*** | 國省代碼: | 廣東;44 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 惡意 程序控制 指令 識別 方法 裝置 | ||
1.一種惡意程序控制指令識別方法,包括:
監控惡意程序的注入過程,獲取注入進程和注入地址;
監控與所述注入進程對應的輸入數據,獲取與所述輸入數據對應的執行軌跡;
對所述輸入數據對應的執行軌跡進行篩選,篩選得到與所述注入地址對應的執行軌跡;
根據篩選得到的執行軌跡計算代碼覆蓋率,根據所述代碼覆蓋率定位對應控制指令判斷邏輯的覆蓋單元;
根據所述對應控制指令判斷邏輯的覆蓋單元獲取標準控制指令集。
2.根據權利要求1所述的惡意程序控制指令識別方法,其特征在于,所述對所述輸入數據對應的執行軌跡進行篩選,篩選得到與所述注入地址對應的執行軌跡的步驟還包括:
獲取所述輸入數據對應的執行軌跡中包含的系統函數調用指令;
移除所述系統函數調用指令對應的覆蓋單元。
3.根據權利要求1所述的惡意程序控制指令識別方法,其特征在于,所述對所述輸入數據對應的執行軌跡進行篩選,篩選得到與所述注入地址對應的執行軌跡的步驟還包括:
獲取所述輸入數據對應的執行軌跡中包含的與所述注入進程對應的調用指令;
移除所述注入進程對應的調用指令對應的覆蓋單元。
4.根據權利要求1所述的惡意程序控制指令識別方法,其特征在于,所述對所述輸入數據對應的執行軌跡進行篩選,篩選得到與所述注入地址對應的執行軌跡的步驟還包括:
獲取所述輸入數據對應的執行軌跡包含的覆蓋單元及所述執行軌跡包含的覆蓋單元的運行次數,根據所述包含的覆蓋單元和運行次數計算所述執行軌跡之間的相似度;
獲取相似度閾值;
將相似度大于所述相似度閾值的執行軌跡歸一化。
5.根據權利要求4所述的惡意程序控制指令識別方法,其特征在于,所述獲取所述輸入數據對應的執行軌跡包含的覆蓋單元及所述執行軌跡包含的覆蓋單元的運行次數,根據所述包含的覆蓋單元和運行次數計算所述執行軌跡之間的相似度的步驟為:
獲取所述輸入數據對應的執行軌跡包含的內存地址相同且運行次數相同的相同覆蓋單元個數、內存地址不同的特有覆蓋單元個數以及內存地址相同但運行次數不同的近似覆蓋單元個數;
根據所述相同覆蓋單元個數、特有覆蓋單元個數和近似覆蓋單元個數計算所述輸入數據對應的執行軌跡之間的相似度。
6.根據權利要求1所述的惡意程序控制指令識別方法,其特征在于,所述根據篩選得到的執行軌跡計算代碼覆蓋率包括:
獲取篩選得到的執行軌跡的覆蓋單元及其運行次數;
計算所述覆蓋單元在所述篩選得到的執行軌跡中各自的出現次數;
根據所述出現次數計算代碼覆蓋率。
7.根據權利要求6所述的惡意程序控制指令識別方法,其特征在于,所述根據所述代碼覆蓋率定位對應控制指令判斷邏輯的覆蓋單元的步驟為:
根據所述代碼覆蓋率獲取出現次數為1的分支覆蓋單元和每個篩選得到的執行軌跡均包含的且運行次數不同的條件判斷覆蓋單元;
根據所述分支覆蓋單元和條件判斷覆蓋單元定位對應控制指令判斷邏輯的覆蓋單元。
8.根據權利要求7所述的惡意程序控制指令識別方法,其特征在于,所述根據所述分支覆蓋單元和條件判斷覆蓋單元定位對應控制指令判斷邏輯的覆蓋單元的步驟為:
獲取所述分支覆蓋單元的分支時間戳和所述條件判斷覆蓋單元的判斷時間戳;
獲取運行時間戳在所述分支時間戳和所述判斷時間戳之間的覆蓋單元,并根據獲取到的覆蓋單元、分支覆蓋單元和條件判斷覆蓋單元定位判斷指令執行序列。
9.根據權利要求1至8任一項所述的惡意程序控制指令識別方法,其特征在于,所述根據所述對應控制指令判斷邏輯的覆蓋單元獲取標準控制指令集步驟之后還包括:
根據所述標準控制指令集生成測試指令;
通過修改函數調用參數值輸入測試指令,獲取測試執行軌跡;
根據所述測試執行軌跡校驗所述標準控制指令集。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于騰訊科技(深圳)有限公司;南開大學,未經騰訊科技(深圳)有限公司;南開大學許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201310007680.5/1.html,轉載請聲明來源鉆瓜專利網。
- 上一篇:帶有完成注射聲響指示的自動注射裝置
- 下一篇:低溫蒸汽滅菌器
