[發(fā)明專利]確定裝置、確定方法及記錄介質有效
| 申請?zhí)枺?/td> | 201580066814.8 | 申請日: | 2015-12-04 |
| 公開(公告)號: | CN107004088B | 公開(公告)日: | 2020-03-31 |
| 發(fā)明(設計)人: | 幾世知范;青木一史;針生剛男 | 申請(專利權)人: | 日本電信電話株式會社 |
| 主分類號: | G06F21/56 | 分類號: | G06F21/56;G06F21/53 |
| 代理公司: | 北京三友知識產(chǎn)權代理有限公司 11127 | 代理人: | 李輝;金玲 |
| 地址: | 日本*** | 國省代碼: | 暫無信息 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 確定 裝置 方法 記錄 介質 | ||
1.一種確定裝置,其特征在于,其具備:
追蹤部,其在執(zhí)行惡意軟件時,對該惡意軟件接收到的數(shù)據(jù)賦予標簽,追蹤被賦予了該標簽的數(shù)據(jù)的傳播,該標簽能夠唯一地確定識別該數(shù)據(jù)的發(fā)送源的識別信息;
監(jiān)視部,其取得所述追蹤部追蹤到的數(shù)據(jù)中的、惡意軟件執(zhí)行的分支命令所參照的數(shù)據(jù)的標簽;
分析部,其對與在所述分支命令之后所述惡意軟件未執(zhí)行的分支目的地的命令相關的信息進行分析;及
確定部,其根據(jù)所述分析部的分析結果,從與所述監(jiān)視部取得的標簽對應的發(fā)送源的識別信息中確定對所述惡意軟件發(fā)出指令的指令服務器的識別信息,
所述分析部對在所述分支命令之后所述惡意軟件未執(zhí)行的分支目的地,該惡意軟件調用的API或系統(tǒng)調用的至少一方進行分析,
在所述分支命令之后所述惡意軟件未執(zhí)行的分支目的地調用規(guī)定的API的情況下或調用規(guī)定的系統(tǒng)調用的情況下,所述確定部將與該分支命令所參照的數(shù)據(jù)的標簽對應的發(fā)送源的識別信息作為所述指令服務器的識別信息。
2.根據(jù)權利要求1所述的確定裝置,其特征在于,
在所述分支命令之后所述惡意軟件未執(zhí)行的分支目的地按照規(guī)定的順序調用規(guī)定的API的情況下或按照規(guī)定的順序調用規(guī)定的系統(tǒng)調用的情況下,所述確定部將與該分支命令所參照的數(shù)據(jù)的標簽對應的發(fā)送源的識別信息作為所述指令服務器的識別信息。
3.根據(jù)權利要求1所述的確定裝置,其特征在于,
所述分析部還通過對所述惡意軟件未執(zhí)行的分支目的地的控制結構進行分析,確定所述惡意軟件執(zhí)行的分支目的地與所述惡意軟件未執(zhí)行的分支目的地之間的匯合點,
所述確定部根據(jù)與從所述分支命令至所述匯合點為止的命令相關的信息的分析結果,確定對所述惡意軟件發(fā)出指令的指令服務器的識別信息。
4.根據(jù)權利要求1所述的確定裝置,其特征在于,
該確定裝置具備取得部,該取得部取得執(zhí)行所述惡意軟件時的存儲器的內容,
所述分析部使用所述取得部取得的存儲器的內容,對與在所述分支命令之后所述惡意軟件未執(zhí)行的分支目的地的命令相關的信息進行靜態(tài)分析。
5.根據(jù)權利要求1所述的確定裝置,其特征在于,
該確定裝置具備記錄部,該記錄部記錄執(zhí)行了所述惡意軟件的虛擬機的快照,
所述分析部使用所述記錄部記錄的快照而強制地執(zhí)行在所述分支命令之后所述惡意軟件未執(zhí)行的分支目的地,對與該分支目的地的命令相關的信息進行動態(tài)分析。
6.一種由確定裝置執(zhí)行的確定方法,其特征在于,包括:
追蹤工序,在執(zhí)行惡意軟件時,對該惡意軟件接收到的數(shù)據(jù)賦予標簽,并追蹤被賦予了該標簽的數(shù)據(jù)的傳播,該標簽能夠唯一地確定該數(shù)據(jù)的發(fā)送源的識別信息;
監(jiān)視工序,取得通過所述追蹤工序追蹤到的數(shù)據(jù)中的、惡意軟件執(zhí)行的分支命令所參照的數(shù)據(jù)的標簽;
分析工序,對與在所述分支命令之后所述惡意軟件未執(zhí)行的分支目的地的命令相關的信息進行分析;及
確定工序,根據(jù)所述分析工序的分析結果,從與通過所述監(jiān)視工序取得的標簽對應的發(fā)送源的識別信息中確定對所述惡意軟件發(fā)出指令的指令服務器的識別信息,
在所述分析工序中,對在所述分支命令之后所述惡意軟件未執(zhí)行的分支目的地,該惡意軟件調用的API或系統(tǒng)調用的至少一方進行分析,
在所述確定工序中,在所述分支命令之后所述惡意軟件未執(zhí)行的分支目的地調用規(guī)定的API的情況下或調用規(guī)定的系統(tǒng)調用的情況下,將與該分支命令所參照的數(shù)據(jù)的標簽對應的發(fā)送源的識別信息作為所述指令服務器的識別信息。
7.一種記錄了確定程序的記錄介質,該確定程序用于使計算機執(zhí)行如下步驟:
追蹤步驟,在執(zhí)行惡意軟件時,對該惡意軟件接收到的數(shù)據(jù)賦予標簽,追蹤被賦予該標簽的數(shù)據(jù)的傳播,該標簽能夠唯一地確定該數(shù)據(jù)的發(fā)送源的識別信息;
監(jiān)視步驟,取得通過所述追蹤步驟追蹤到的數(shù)據(jù)中的、惡意軟件執(zhí)行的分支命令所參照的數(shù)據(jù)的標簽;
分析步驟,對與在所述分支命令之后所述惡意軟件未執(zhí)行的分支目的地的命令相關的信息進行分析;及
確定步驟,根據(jù)所述分析步驟的分析結果,從與通過所述監(jiān)視步驟取得的標簽對應的發(fā)送源的識別信息中確定對所述惡意軟件發(fā)出指令的指令服務器的識別信息,
在所述分析步驟中,對在所述分支命令之后所述惡意軟件未執(zhí)行的分支目的地,該惡意軟件調用的API或系統(tǒng)調用的至少一方進行分析,
在所述確定步驟中,在所述分支命令之后所述惡意軟件未執(zhí)行的分支目的地調用規(guī)定的API的情況下或調用規(guī)定的系統(tǒng)調用的情況下,將與該分支命令所參照的數(shù)據(jù)的標簽對應的發(fā)送源的識別信息作為所述指令服務器的識別信息。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于日本電信電話株式會社,未經(jīng)日本電信電話株式會社許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業(yè)授權和技術合作,請聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201580066814.8/1.html,轉載請聲明來源鉆瓜專利網(wǎng)。
