技術領域

本發明涉及網絡安全技術領域，尤其涉及一種基于反匯編進行惡意樣本檢測的方法及系統。

背景技術

隨著計算機的普及和網絡的發展，一方面，人們更多的使用互聯網進行辦公，會接觸到各樣的文檔類型；另一方面，信息所帶來的價值也在不斷增加，在這樣一個網絡世界中，可以說信息就等于金錢，在利益的驅動下，不法分子會制作帶有惡意代碼的文檔，通過多種方法發送到用戶電腦中，當用戶在打開查看時，其實已經被不法分子控制。利用文檔格式來達到入侵的目的有著先天的優勢，不易被用戶察覺，惡意代碼后臺運行，可以做到“殺人于無形”。目前出現的很多APT事件中，大多都采用了文檔格式的惡意樣本。

目前，對文檔格式的惡意樣本檢測多采用常規手段，提取特征碼，匹配特征碼，或是動態檢測，打開文檔格式，通過其行為進行判斷是否具有惡意操作。

現有技術存在的技術問題：

在目前現有的檢測方法中，可以分為特征碼檢測和動態檢測。

特征碼匹配方式面臨的一個問題是當惡意代碼進行簡單的變形，如：加入一些空格、不顯示字符，都會對特征碼檢測造成很大的困擾，而且需要人工進行分析，提取特征；而且這種方法只能針對現有已知漏洞，對未知漏洞，這類方法無能為力。

動態檢測所面臨的問題是計算機環境是否適合樣本的運行，是否會觸發惡意樣本的行為，文檔格式的惡意樣本是利用軟件的漏洞，精心構造的文件才可以觸發漏洞，多數只能在一種環境下運行，如有些樣本只能在Windows?XP?SP3下，使用Office?2007才可觸發，其它系統，其它版本的軟件都無法觸發惡意代碼的操作。因此，動態檢測中沒有惡意行為的樣本并非一定沒有惡意代碼，只是可能在當前環境中無法觸發惡意操作。

發明內容

文檔格式的惡意樣本一般由兩部分組成，一部分是文檔所必須的文件頭、數據等組成部分，另一部分為shellcode；想要執行惡意操作，則文檔中必須帶有shellcode，并能運行shellcode。而本發明中的方法及系統可以檢測文檔中是否夾帶了shellcode。

本發明提供了一種基于反匯編進行惡意樣本檢測的方法及系統，該發明提供的技術方案通過對待檢測文檔進行靜態反匯編操作，若存在成功反匯編的指令，并且指令字節總長度大于預設值，則認為該待檢測文檔為惡意文檔，存在shellcode。該技術方案不僅對已知漏洞具備檢測能力，對未知漏洞同樣具備檢測能力。?

本發明采用如下方法來實現：一種基于反匯編進行惡意樣本檢測的方法，包括：

步驟1、將待檢測文檔轉換為十六進制格式的數據；

步驟2、對所述數據以逐字節遍歷的形式進行反匯編；

步驟3、判斷是否存在成功反匯編的指令，若存在，則執行步驟4，否則執行步驟5；

步驟4、判斷成功反匯編的指令字節總長度是否大于預設值，若大于，則待檢測文檔為惡意文檔，否則，執行步驟5；

步驟5、判斷對所述數據的遍歷是否已完成，若已完成，則待檢測文檔為非惡意文檔，否則，繼續執行步驟2。

進一步地，所述步驟1包括：判斷待檢測文檔是否為文本可讀類型文檔，若是，則以文本方式讀取待檢測文檔，并轉換為十六進制格式的數據，否則以二進制方式讀取待檢測文檔，并轉換為十六進制格式的數據，并設置初始偏移offset為0。

進一步地，所述步驟2包括：從offset處對所述數據以逐字節遍歷的形式進行反匯編，每次遍歷完成后，所述offset自動加1。?

進一步地，所述判斷對所述數據的遍歷是否已完成包括：判斷所述offset是否大于等于所述數據總長度，若是，則已完成，否則未完成。

一種基于反匯編進行惡意樣本檢測的系統，包括：

格式轉換模塊，用于將待檢測文檔轉換為十六進制格式的數據；

反匯編模塊，用于對所述數據以逐字節遍歷的形式進行反匯編；

第一判定模塊，用于判斷是否存在成功反匯編的指令，若存在，則由第二判定模塊繼續操作，否則由第三判定模塊繼續操作；

第二判定模塊，用于判斷成功反匯編的指令字節總長度是否大于預設值，若大于，則待檢測文檔為惡意文檔，否則由第三判定模塊繼續操作；

第三判定模塊，用于判斷對所述數據的遍歷是否已完成，若已完成，則待檢測文檔為非惡意文檔，否則由反匯編模塊繼續操作。