本發(fā)明實施例公開了一種惡意軟件檢測方法及相關設備，所述方法包括：獲取一個或者多個沙盒中每個沙盒的第一配置信息和待測軟件的第二配置信息，并根據(jù)每個沙盒的第一配置信息和第二配置信息在一個或者多個沙盒中確定出與待測軟件匹配的目標沙盒，進而調(diào)用目標沙盒對待測軟件進行符號執(zhí)行分析，以得到待測軟件各功能各自對應的等價執(zhí)行路徑，并調(diào)用目標沙盒執(zhí)行目標等價執(zhí)行路徑，并記錄待測軟件執(zhí)行目標等價執(zhí)行路徑對應的執(zhí)行軌跡以及調(diào)用的系統(tǒng)資源，進而根據(jù)執(zhí)行軌跡和調(diào)用的系統(tǒng)資源確定待測軟件是否存在惡意行為，當待測軟件存在惡意行為時，確定待測軟件為惡意軟件，并輸出待測軟件對應的惡意行為，有利于提高惡意軟件檢測的細粒度。

技術領域

本發(fā)明涉及計算機技術領域，尤其涉及一種惡意軟件檢測方法及相關設備。

背景技術

隨著計算機技術的飛速發(fā)展，各種網(wǎng)站、移動終端以及移動終端上app服務的廣泛應用，服務器系統(tǒng)的安全性問題越來越受到重視，各種惡意軟件層出不窮。目前市面上的惡意軟件檢測主要分為動態(tài)和靜態(tài)兩種：靜態(tài)檢測需要事先收集已知惡意軟件的特征信息，對于最新出現(xiàn)的惡意軟件和已有惡意軟件的變種檢測效果并不強；動態(tài)檢測則主要在沙盒環(huán)境中運行樣本并收集軟件的行為特征從而判斷是否會造成危害，而目前惡意軟件大多具備對沙盒環(huán)境的檢測能力，沙盒環(huán)境和實際生產(chǎn)環(huán)境還有著比較大的區(qū)別導致惡意軟件不會觸發(fā)惡意行為，對惡意軟件行為檢測能力過弱，細粒度不足。

發(fā)明內(nèi)容

本發(fā)明實施例提供了一種惡意軟件檢測方法及相關設備，可以分析出惡意軟件存在的惡意行為，有利于提高惡意軟件檢測的細粒度。

第一方面，本發(fā)明實施例提供了一種惡意軟件檢測方法，該方法包括：

獲取所述一個或者多個沙盒中每個沙盒的第一配置信息和待測軟件的第二配置信息，并根據(jù)所述每個沙盒的第一配置信息和所述第二配置信息在所述一個或者多個沙盒中確定出與所述待測軟件匹配的目標沙盒；

調(diào)用所述目標沙盒對所述待測軟件進行符號執(zhí)行分析，以得到所述待測軟件各功能各自對應的等價執(zhí)行路徑；

調(diào)用所述目標沙盒執(zhí)行目標等價執(zhí)行路徑，并記錄所述待測軟件執(zhí)行所述目標等價執(zhí)行路徑對應的執(zhí)行軌跡以及調(diào)用的系統(tǒng)資源，所述目標等價執(zhí)行路徑為所述待測軟件各功能各自對應的等價執(zhí)行路徑中的一個或者多個；

根據(jù)所述執(zhí)行軌跡和所述調(diào)用的系統(tǒng)資源確定所述待測軟件是否存在惡意行為；

當所述待測軟件存在所述惡意行為時，確定所述待測軟件為惡意軟件，并輸出所述待測軟件對應的所述惡意行為。

在一個實施例中，所述獲取所述一個或者多個沙盒中每個沙盒的第一配置信息和待測軟件的第二配置信息之前，還可以對所述一個或者多個沙盒中每個沙盒可調(diào)用的系統(tǒng)接口進行匯編指令級別的轉譯和分片處理，得到轉譯和分片處理后的目標系統(tǒng)接口；將所述每個沙盒對應的所述目標系統(tǒng)接口和所述系統(tǒng)接口關聯(lián)存儲至該沙盒的系統(tǒng)接口庫中。

在一個實施例中，所述調(diào)用所述目標沙盒對所述待測軟件進行符號執(zhí)行分析，以得到所述待測軟件的功能的等價執(zhí)行路徑的具體實施方式為：

在調(diào)用所述目標沙盒對所述待測軟件進行符號執(zhí)行分析時，檢測執(zhí)行所述符號分析得到的功能的當前執(zhí)行路徑是否執(zhí)行至調(diào)用所述目標沙盒的系統(tǒng)接口庫中的任一所述系統(tǒng)接口；

若執(zhí)行所述符號分析得到的功能的當前執(zhí)行路徑執(zhí)行至所述任一系統(tǒng)接口，則結束所述功能的當前執(zhí)行路徑，并生成所述功能的當前執(zhí)行路徑對應的等價執(zhí)行路徑。

在一個實施例中，所述調(diào)用所述目標沙盒動態(tài)執(zhí)行目標等價執(zhí)行路徑的具體實施方式為：

將所述目標等價執(zhí)行路徑對應的輸入值數(shù)組輸入所述目標沙盒的樣本程序中，得到所述目標等價執(zhí)行路徑的執(zhí)行流；

根據(jù)所述目標沙盒中預設的跳轉指令對所述執(zhí)行流進行切片處理，得到一個或者多個執(zhí)行流片段；