技術領域

本發明涉及計算機技術領域，特別涉及間諜程序的分析方法和計算機系統。

背景技術

隨著互聯網的發展，惡意程序比如間諜程序等也逐漸發展，給當前的信息安全帶來了不容忽視的威脅，因此對惡意程序的研究具有非常重要的意義。

以間諜程序為例說明，現有技術中，遠端(比如控制主機)會控制間諜程序會將惡意代碼強行注入到計算機系統當前正運行的應用程序的進程中，并獲取該計算機系統上的用戶信息，從而帶來信息安全的問題。一般情況下，這些間諜程序寄宿中計算機系統的某個重要進程中，可以穿越防火墻，且很難用殺毒的應用程序發現，因此，如何防止計算機系統通過間諜程序泄露用戶信息是現在需要重點解決的問題。

發明內容

本發明實施例提供間諜程序的分析方法和計算機系統，使得通過對計算機系統在調用間諜程序與控制主機通信過程中的回傳數據包的分析，可以發掘間諜程序的通信協議，從而能控制間諜程序的執行，保護。

本發明實施例提供一種間諜程序的分析方法，包括：

捕獲計算機系統執行間諜程序的進程的執行軌跡；

從所述執行軌跡中提取出回傳數據包操作的子程序，所述回傳數據包操作是所述計算機系統執行間諜程序的進程時傳輸數據包給控制主機的操作，所述回傳數據包操作的子程序中包括多個調用接口的信息；

分析所述調用接口的信息中各個組成部分的語義信息并輸出。

本發明實施例還提供一種計算機系統，包括：

軌跡捕獲單元，用于捕獲計算機系統執行間諜程序的進程的執行軌跡；

回傳程序提取單元，用于從所述執行軌跡中提取出回傳數據包操作的子程序，所述回傳數據包操作是所述計算機系統執行間諜程序的進程時傳輸數據包給控制主機的操作，所述回傳數據包操作的子程序中包括多個調用接口的信息；

語義分析單元，用于分析所述調用接口的信息中各個組成部分的語義信息并輸出。

可見，本發明實施例的間諜程序的分析方法中，計算機系統會先捕獲計算機系統執行間諜程序的進程的執行軌跡；然后從執行軌跡中提取出回傳數據包操作的子程序，該回傳數據包操作是計算機系統執行間諜程序的進程時傳輸數據包給控制主機的操作；最后分析回傳數據包操作的子程序中包括的調用接口的信息中各個組成部分的語義信息并輸出。這樣可以確定出計算機系統在調用間諜程序與控制主機通信過程中的回傳的數據包的具體格式，從而發掘出間諜程序的通信協議，用戶就可以根據得到的通信協議重寫間諜程序的控制命令以控制間諜程序的執行，比如用戶編寫的控制命令為：控制間諜程序的進程在獲取用戶信息的過程中轉向獲取其它的非重要信息并返回給控制主機，這樣就可以避免用戶信息的泄露。

附圖說明

為了更清楚地說明本發明實施例或現有技術中的技術方案，下面將對實施例或現有技術描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本發明的一些實施例，對于本領域普通技術人員來講，在不付出創造性勞動性的前提下，還可以根據這些附圖獲得其他的附圖。

圖1是本發明實施例提供的一種間諜程序的分析方法的流程圖；

圖2是本發明實施例提供的另一種間諜程序的分析方法的流程圖；

圖3是本發明實施例提供的另一種間諜程序的分析方法的流程圖；

圖4是本發明實施例中確定的部分調用關系圖；

圖5是本發明實施例提供的另一種間諜程序的分析方法的流程圖；

圖6是本發明實施例中進行動態切片后的調用關系圖；

圖7是本發明實施例提供的另一種間諜程序的分析方法的流程圖；

圖8a是本發明實施例中通過ASI算法分割發送緩沖區的信息的流向圖；

圖8b是本發明實施例中發送緩沖區的信息中各個組成部分的結構示意圖；

圖9是本發明實施例提供的一種計算機系統的結構示意圖；

圖10是本發明實施例提供的另一種計算機系統的結構示意圖；

圖11是本發明實施例提供的另一種計算機系統的結構示意圖；

圖12是本發明實施例提供的計算機系統中回傳程序提取單元的結構示意圖；

圖13是本發明實施例提供的間諜程序的分析方法應用于的終端的結構示意圖。

具體實施方式