CN103902903A - 基于动态沙箱环境的恶意代码分析方法及系统 - Google Patents

基于动态沙箱环境的恶意代码分析方法及系统 Download PDF

Info

Publication number
CN103902903A
CN103902903A CN201310557502.XA CN201310557502A CN103902903A CN 103902903 A CN103902903 A CN 103902903A CN 201310557502 A CN201310557502 A CN 201310557502A CN 103902903 A CN103902903 A CN 103902903A
Authority
CN
China
Prior art keywords
malicious code
character string
string information
core resource
system core
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201310557502.XA
Other languages
English (en)
Inventor
云晓春
徐小琳
郑礼雄
高胜
王�琦
陈阳
何能强
康学斌
贺磊钢
张栗伟
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
National Computer Network and Information Security Management Center
Harbin Antiy Technology Co Ltd
Original Assignee
National Computer Network and Information Security Management Center
Harbin Antiy Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by National Computer Network and Information Security Management Center, Harbin Antiy Technology Co Ltd filed Critical National Computer Network and Information Security Management Center
Priority to CN201310557502.XA priority Critical patent/CN103902903A/zh
Publication of CN103902903A publication Critical patent/CN103902903A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/561Virus type analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/53Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Debugging And Monitoring (AREA)

Abstract

本发明提供了一种基于动态沙箱环境的恶意代码分析方法及系统,包括:将恶意代码投放到带有监控的虚拟机中;运行并监控所述恶意代码,获得与系统核心资源相关的进程调用和字符串信息;判断系统核心资源规则库中是否包含所述进程调用和字符串信息,如果是,则模拟对应系统核心资源,否则丢弃所述进程调用和字符串信息;判断恶意代码是否执行完毕,如果是,则捕获动态模拟后的恶意代码信息记录,否则继续监控所述恶意代码。通过本发明的方法,能够根据恶意代码运行需要,动态模拟满足恶意代码分析需求,并减少资源耗费,达到高性价比获取恶意代码行为信息。

Description

基于动态沙箱环境的恶意代码分析方法及系统
技术领域
本发明涉及计算机网络安全技术领域,尤其涉及一种基于动态沙箱环境的恶意代码分析方法及系统。
背景技术
现有恶意代码分析方法中,采用沙箱分析恶意代码已经成为目前对恶意代码进行动态判断的一个主要手段,其中对恶意代码依赖环境的模拟方式主要是通过预先准备环境,或者进行全分支回溯。预先准备环境的方式,经常很难满足恶意代码分析需要,一方面可能准备的环境恶意代码样本不需要,另一方面如果准备的环境过多,例如进程、窗口等,则会耗费大量资源。而全分支回溯方式则导致分支指数级别增长,基本是时间超长,条件太多导致NP问题。如果只返回调用的API条件的真假,则后续动作比如注入进程的注入代码的行为则无法发现,再如查找特定程序目录返回成功,但目录不存在则无法写入,引发程序崩溃,另外利用回溯进行无限的分支尝试输入,将导致程序分析陷入超长时间,同时很多分支无法预测,是分析稍微复杂的程序变得不可行。
发明内容
本发明提供了一种基于动态沙箱环境的恶意代码分析方法,解决了预先准备环境或全分支回溯导致耗费系统资源,恶意代码分析不彻底等问题,能够动态满足恶意代码需求,并减少资源耗费。
一种基于动态沙箱环境的恶意代码分析方法,包括:
将恶意代码投放到带有监控的虚拟机中;
运行并监控所述恶意代码,获得与系统核心资源相关的进程调用和字符串信息;
判断系统核心资源规则库中是否包含所述进程调用和字符串信息,如果是,则模拟对应系统核心资源,否则丢弃所述进程调用和字符串信息;
判断恶意代码是否执行完毕,如果是,则捕获动态模拟后的恶意代码信息记录,否则继续监控所述恶意代码。循环进行监控和判断,直到恶意代码运行完成。
所述的方法中,预先建立系统核心资源规则库,所述系统核心资源规则库至少包括进程调用和字符串信息对应的进程、窗口、网络、注册表、移动磁盘、系统目录文件。
一种基于动态沙箱环境的恶意代码分析系统,包括:
分发模块,用于将恶意代码投放到带有监控的虚拟机中;
执行模块,用于运行并监控所述恶意代码,获得与系统核心资源相关的进程调用和字符串信息;
第一判断模块,用于判断系统核心资源规则库中是否包含所述进程调用和字符串信息,如果是,则模拟对应系统资源,否则丢弃所述进程调用和字符串信息;
第二判断模块,用于判断恶意代码是否执行完毕,如果是,则捕获动态模拟后的恶意代码信息记录,否则执行模块继续监控所述恶意代码。
所述的系统中,预先建立系统核心资源规则库,所述系统核心资源规则库至少包括进程调用和字符串信息对应的进程、窗口、网络、注册表、移动磁盘、系统目录文件。
本发明方法及系统的优势在于能够根据恶意代码行为需要,动态模拟满足系统核心资源,激发恶意代码重要分支行为,能够在短时间达到捕获效果,减少资源耗费,并且捕获效果好,能够深度诱发进一步的恶意行为。
本发明提供了一种基于动态沙箱环境的恶意代码分析方法及系统,包括:将恶意代码投放到带有监控的虚拟机中;运行并监控所述恶意代码,获得与系统核心资源相关的进程调用和字符串信息;判断系统核心资源规则库中是否包含所述进程调用和字符串信息,如果是,则模拟对应系统核心资源,否则丢弃所述进程调用和字符串信息;判断恶意代码是否执行完毕,如果是,则捕获动态模拟后的恶意代码信息记录,否则继续监控所述恶意代码。通过本发明的方法,能够根据恶意代码运行需要,动态模拟满足恶意代码分析需求,并减少资源耗费,达到高性价比获取恶意代码行为信息。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明一种基于动态沙箱环境的恶意代码分析方法流程图;
图2为本发明一种基于动态沙箱环境的恶意代码分析系统结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明。
本发明提供了一种基于动态沙箱环境的恶意代码分析方法,解决了预先准备环境或全分支回溯导致耗费系统资源,恶意代码分析不彻底等问题,能够动态满足恶意代码需求,并减少资源耗费。
一种基于动态沙箱环境的恶意代码分析方法,如图1所示,包括:
S101:将恶意代码投放到带有监控的虚拟机中;
S102:运行并监控所述恶意代码,获得与系统核心资源相关的进程调用和字符串信息;
S103:判断系统核心资源规则库中是否包含所述进程调用和字符串信息,如果是,则执行S104,否则丢弃所述进程调用和字符串信息;
S104:模拟对应系统核心资源;
S105:判断恶意代码是否执行完毕,如果是,则捕获动态模拟后的恶意代码信息记录,否则返回S102,继续监控所述恶意代码。循环进行监控和判断,直到恶意代码运行完成。
所述的方法中,预先建立系统核心资源规则库,所述系统核心资源规则库至少包括进程调用和字符串信息对应的进程、窗口、网络、注册表、移动磁盘、系统目录文件。
一种基于动态沙箱环境的恶意代码分析系统,如图2所示,包括:
分发模块201,用于将恶意代码投放到带有监控的虚拟机中;
执行模块202,用于运行并监控所述恶意代码,获得与系统核心资源相关的进程调用和字符串信息;
第一判断模块203,用于判断系统核心资源规则库中是否包含所述进程调用和字符串信息,如果是,则模拟对应系统资源,否则丢弃所述进程调用和字符串信息;
第二判断模块204,用于判断恶意代码是否执行完毕,如果是,则捕获动态模拟后的恶意代码信息记录,否则执行模块继续监控所述恶意代码。
所述的系统中,预先建立系统核心资源规则库,所述系统核心资源规则库至少包括进程调用和字符串信息对应的进程、窗口、网络、注册表、移动磁盘、系统目录文件。
本发明方法及系统的优势在于能够根据恶意代码行为需要,动态模拟满足系统核心资源,激发恶意代码重要分支行为,能够在短时间达到捕获效果,减少资源耗费,并且捕获效果好,能够深度诱发进一步的恶意行为。
本发明提供了一种基于动态沙箱环境的恶意代码分析方法及系统,包括:将恶意代码投放到带有监控的虚拟机中;运行并监控所述恶意代码,获得与系统核心资源相关的进程调用和字符串信息;判断系统核心资源规则库中是否包含所述进程调用和字符串信息,如果是,则模拟对应系统核心资源,否则丢弃所述进程调用和字符串信息;判断恶意代码是否执行完毕,如果是,则捕获动态模拟后的恶意代码信息记录,否则继续监控所述恶意代码。通过本发明的方法,能够根据恶意代码运行需要,动态模拟满足恶意代码分析需求,并减少资源耗费,达到高性价比获取恶意代码行为信息。
虽然通过实施例描绘了本发明,本领域普通技术人员知道,本发明有许多变形和变化而不脱离本发明的精神,希望所附的权利要求包括这些变形和变化而不脱离本发明的精神。

Claims (4)

1.一种基于动态沙箱环境的恶意代码分析方法,其特征在于,包括:
将恶意代码投放到带有监控的虚拟机中;
运行并监控所述恶意代码,获得与系统核心资源相关的进程调用和字符串信息;
判断系统核心资源规则库中是否包含所述进程调用和字符串信息,如果是,则模拟对应系统核心资源,否则丢弃所述进程调用和字符串信息;
判断恶意代码是否执行完毕,如果是,则捕获动态模拟后的恶意代码信息记录,否则继续监控所述恶意代码。
2.如权利要求1所述的方法,其特征在于,预先建立系统核心资源规则库,所述系统核心资源规则库至少包括进程调用和字符串信息对应的进程、窗口、网络、注册表、移动磁盘、系统目录文件。
3.一种基于动态沙箱环境的恶意代码分析系统,其特征在于,包括:
分发模块,用于将恶意代码投放到带有监控的虚拟机中;
执行模块,用于运行并监控所述恶意代码,获得与系统核心资源相关的进程调用和字符串信息;
第一判断模块,用于判断系统核心资源规则库中是否包含所述进程调用和字符串信息,如果是,则模拟对应系统资源,否则丢弃所述进程调用和字符串信息;
第二判断模块,用于判断恶意代码是否执行完毕,如果是,则捕获动态模拟后的恶意代码信息记录,否则执行模块继续监控所述恶意代码。
4.如权利要求3所述的系统,其特征在于,预先建立系统核心资源规则库,所述系统核心资源规则库至少包括进程调用和字符串信息对应的进程、窗口、网络、注册表、移动磁盘、系统目录文件。
CN201310557502.XA 2013-11-12 2013-11-12 基于动态沙箱环境的恶意代码分析方法及系统 Pending CN103902903A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201310557502.XA CN103902903A (zh) 2013-11-12 2013-11-12 基于动态沙箱环境的恶意代码分析方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201310557502.XA CN103902903A (zh) 2013-11-12 2013-11-12 基于动态沙箱环境的恶意代码分析方法及系统

Publications (1)

Publication Number Publication Date
CN103902903A true CN103902903A (zh) 2014-07-02

Family

ID=50994215

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201310557502.XA Pending CN103902903A (zh) 2013-11-12 2013-11-12 基于动态沙箱环境的恶意代码分析方法及系统

Country Status (1)

Country Link
CN (1) CN103902903A (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104200161A (zh) * 2014-08-05 2014-12-10 杭州安恒信息技术有限公司 一种实现沙箱智能检测文件的方法及其沙箱智能检测系统
CN104766007A (zh) * 2015-03-27 2015-07-08 杭州安恒信息技术有限公司 一种基于文件系统过滤驱动实现沙箱快速恢复的方法
CN113672917A (zh) * 2021-08-04 2021-11-19 安天科技集团股份有限公司 恶意代码检测方法、装置、存储介质及电子设备
CN113935021A (zh) * 2021-10-29 2022-01-14 中金金融认证中心有限公司 用于运行恶意软件的方法及其相关产品

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101154258A (zh) * 2007-08-14 2008-04-02 电子科技大学 恶意程序动态行为自动化分析系统与方法
US20100192223A1 (en) * 2004-04-01 2010-07-29 Osman Abdoul Ismael Detecting Malicious Network Content Using Virtual Environment Components
CN101841523A (zh) * 2010-02-05 2010-09-22 中国科学院计算技术研究所 检测恶意代码样本的网络行为的方法及系统
CN102930210A (zh) * 2012-10-14 2013-02-13 江苏金陵科技集团公司 恶意程序行为自动化分析、检测与分类系统及方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20100192223A1 (en) * 2004-04-01 2010-07-29 Osman Abdoul Ismael Detecting Malicious Network Content Using Virtual Environment Components
CN101154258A (zh) * 2007-08-14 2008-04-02 电子科技大学 恶意程序动态行为自动化分析系统与方法
CN101841523A (zh) * 2010-02-05 2010-09-22 中国科学院计算技术研究所 检测恶意代码样本的网络行为的方法及系统
CN102930210A (zh) * 2012-10-14 2013-02-13 江苏金陵科技集团公司 恶意程序行为自动化分析、检测与分类系统及方法

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104200161A (zh) * 2014-08-05 2014-12-10 杭州安恒信息技术有限公司 一种实现沙箱智能检测文件的方法及其沙箱智能检测系统
CN104200161B (zh) * 2014-08-05 2017-01-25 杭州安恒信息技术有限公司 一种实现沙箱智能检测文件的方法及其沙箱智能检测系统
CN104766007A (zh) * 2015-03-27 2015-07-08 杭州安恒信息技术有限公司 一种基于文件系统过滤驱动实现沙箱快速恢复的方法
CN104766007B (zh) * 2015-03-27 2017-07-21 杭州安恒信息技术有限公司 一种基于文件系统过滤驱动实现沙箱快速恢复的方法
CN113672917A (zh) * 2021-08-04 2021-11-19 安天科技集团股份有限公司 恶意代码检测方法、装置、存储介质及电子设备
CN113935021A (zh) * 2021-10-29 2022-01-14 中金金融认证中心有限公司 用于运行恶意软件的方法及其相关产品
CN113935021B (zh) * 2021-10-29 2024-04-12 中金金融认证中心有限公司 用于运行恶意软件的方法及其相关产品

Similar Documents

Publication Publication Date Title
CN106021079B (zh) 一种基于用户频繁访问序列模型的Web应用性能测试方法
CN103176895B (zh) 一种回归测试方法和系统
CN103136471B (zh) 一种恶意Android应用程序检测方法和系统
US9823991B2 (en) Concurrent workload simulation for application performance testing
CN108600311B (zh) 客户端模拟接口数据的方法及装置
CN112433819A (zh) 异构集群调度的模拟方法、装置、计算机设备及存储介质
CN109309596B (zh) 一种压力测试方法、装置及服务器
CN108415826B (zh) 应用的测试方法、终端设备及计算机可读存储介质
CN103902903A (zh) 基于动态沙箱环境的恶意代码分析方法及系统
CN105068934A (zh) 一种用于云平台的基准测试系统及方法
CN102750221A (zh) 一种针对Linux文件系统的性能测试方法
CN109976989A (zh) 跨节点应用性能监测方法、装置及高性能计算系统
CN110597704B (zh) 应用程序的压力测试方法、装置、服务器和介质
CN103257923A (zh) 数据中心数据分析类基准测试程序的应用选取方法及系统
CN114501501A (zh) 移动通信网络靶场的配置管理方法、装置、设备及介质
CN104866425A (zh) 一种数据库压力测试的方法
CN103595578A (zh) 一种桌面云终端在虚拟化应用场景的性能评测方法及其系统
CN107526966B (zh) 一种Android平台的复合污点传播追踪方法
CN105989019B (zh) 一种清洗数据的方法及装置
CN102999719B (zh) 一种基于硬件模拟器的恶意代码在线分析方法及系统
CN109522217A (zh) 应用程序的内存测试方法及终端设备
US10872347B2 (en) Transmitting application data for on-device demos
CN110465093B (zh) 一种基于Unity的包体冗余资源分析方法及其装置
CN104021071A (zh) 进程生命周期的获取方法及系统
RU2595763C2 (ru) Способ и устройство менеджмента загрузки на базе браузера android

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20140702