技術領域

該公開一般涉及網絡安全管理，尤其涉及用于檢測多媒體文件的惡意 利用的系統和方法。

背景

Adobe(Flash)(AdobeFlash是AdobeSystems公司的注冊商標)是一種多媒體和軟件平臺，該平臺向開發者提供高級的視頻播放和動畫能力并且可用于創作向量圖形、動畫、游戲以及豐富的互聯網應用(RIA)。Flash也頻繁用于向網頁添加流化的視頻或音頻播放器、廣告和交互式多媒體內容。例如，具有ShockwaveFlash或小web格式(SWF)的Flash文件通常被嵌入到要由瀏覽器插件播放的網頁中，或者被嵌入到將被Adobe的AcrobatReader軟件中所包括的Flash播放器的副本所播放的Adobe(Adobe是AdobeSystems(Adobe系統)公司的注冊商標)便攜式文檔格式(PDF)文件中。

隨著近年來Flash在各種應用中的使用日漸增加，惡意軟件攻擊Flash 文件的出現率也增加。Flash文件的惡意利用會是非常有害的，因為即使 SWF有時被認為是圖片，但它們會攜帶可能被惡意操縱的整個應用。盡管 Flash利用的出現率日益增加以及對于這些攻擊的成功解決方案的重要性， 但是檢測和移除這些安全風險的有效方法仍十分有限。

檢驗Flash文件是否包含惡意軟件的一種方法是僅僅運行代碼來觀察 后續情況。該方法被稱為是運行時代碼分析或動態代碼分析。動態代碼分 析在安全測試環境中操作時可能是有用的，其中調試器可以跟蹤變量值并 且追蹤函數調用以得到應用的內部結構的準確概覽，但是動態代碼分析在 代碼實際上在設備上被執行時對于在測試環境外部使用很難是實用的、并 且若其包括惡意軟件則會引起損害。此外，惡意的利用也許能識別出它在 運行時或動態代碼分析中被運行，并且為防止被識別而不會表現出惡意。

另一種用于確定Flash文件是否包含惡意軟件的過程是通過靜態代碼 分析，該分析期間文件在被執行之前被分解和分析。當前用于檢測Flash 文件中惡意軟件的靜態代碼分析的方法一般是基于簽名的，并且依賴于逐 案例的分析。這些方法一般不是高效或有效的，并且會導致識別出顯著數 量的假肯定(falsepositive)。以下公開內容解決了這些及其他問題。

附圖簡述

圖1是圖示根據一個或多個公開的實施例的網絡體系結構的框圖。

圖2是圖示根據一個實施例、使用此處所述技術的可編程設備的框圖。

圖3是圖示根據另一實施例、使用此處所述技術的可編程設備的框圖。

圖4A是根據一個或多個所公開的實施例、在Flash文件塊的字節碼中 包括的惡意指令的示例。

圖4B是根據一個或多個所公開的實施例、在Flash文件的常數池表格 中包括的shellcode(殼代碼)字符串的示例。

圖5是根據一個或多個所公開的實施例的Flash惡意軟件檢測方法的 流程圖。

圖6A-6B是根據一個或多個所公開的實施例、用于假肯定標識方法的 流程圖。

所公開實施例的描述

Flash文件日漸成為惡意利用所針對的目標。為了有效地檢測和移除 這樣的利用，可以使用一種檢測方法，該檢測方法是通用的且非基于簽名 的，并且可以在不運行代碼的情況下標識風險。在一實施例中，這一方法 包括解析Flash文件的已編譯字節碼以檢測所標識的關鍵指令并且確定這 種關鍵指令是否以特定模式重復，該特定模式表明惡意利用的存在。該方 法還可以包括檢查已編譯Flash文件中常數池表的內容以檢測代表惡意利 用的存在的特定shellcode字符串。當字節碼或常數池表指示惡意利用存 在時，可以利用一種方法來減少對惡意利用的假肯定標識的情況。