CN108829579A - 可执行文件的分析方法、装置、存储介质和处理器 - Google Patents

可执行文件的分析方法、装置、存储介质和处理器 Download PDF

Info

Publication number
CN108829579A
CN108829579A CN201810415712.8A CN201810415712A CN108829579A CN 108829579 A CN108829579 A CN 108829579A CN 201810415712 A CN201810415712 A CN 201810415712A CN 108829579 A CN108829579 A CN 108829579A
Authority
CN
China
Prior art keywords
executable file
analyzed
interface
analysis
target
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201810415712.8A
Other languages
English (en)
Inventor
张海旭
颜华甲
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Kingsoft Security Management System Technology Co ltd
Original Assignee
Guangzhou Jinshan Safety Management System Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Guangzhou Jinshan Safety Management System Technology Co Ltd filed Critical Guangzhou Jinshan Safety Management System Technology Co Ltd
Priority to CN201810415712.8A priority Critical patent/CN108829579A/zh
Publication of CN108829579A publication Critical patent/CN108829579A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/36Preventing errors by testing or debugging software
    • G06F11/3668Software testing
    • G06F11/3672Test management
    • G06F11/3692Test management for test results analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/36Preventing errors by testing or debugging software
    • G06F11/3668Software testing
    • G06F11/3672Test management
    • G06F11/3688Test management for test execution, e.g. scheduling of test suites
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/53Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Quality & Reliability (AREA)
  • Stored Programmes (AREA)

Abstract

本发明公开了一种可执行文件的分析方法、装置、存储介质和处理器。其中,该方法包括:获取多个待分析的可执行文件;同时对所述多个待分析的可执行文件进行分析,得到所述多个待分析的可执行文件中每个待分析的可执行文件对应的分析信息;根据所述每个待分析的可执行文件对应的所述分析信息对所述多个待分析的可执行文件进行筛选,得到所述分析信息满足目标条件的目标可执行文件。本发明解决了相关技术中对于可执行文件进行分析时分析效率较低的技术问题。

Description

可执行文件的分析方法、装置、存储介质和处理器
技术领域
本发明涉及计算机领域,具体而言,涉及一种可执行文件的分析方法、装置、存储介质和处理器。
背景技术
技术人员有时需要对一些可执行文件进行分析,以获取可执行文件的信息。但目前的可执行文件的分析方式的分析效率较低,严重影响了对可执行文件的处理进度。
针对上述对于可执行文件进行分析时分析效率较低的问题,目前尚未提出有效的解决方案。
发明内容
本发明实施例提供了一种可执行文件的分析方法、装置、存储介质和处理器,以至少解决相关技术中对于可执行文件进行分析时分析效率较低的技术问题。
根据本发明实施例的一个方面,提供了一种可执行文件的分析方法,包括:获取多个待分析的可执行文件;同时对所述多个待分析的可执行文件进行分析,得到所述多个待分析的可执行文件中每个待分析的可执行文件对应的分析信息;根据所述每个待分析的可执行文件对应的所述分析信息对所述多个待分析的可执行文件进行筛选,得到所述分析信息满足目标条件的目标可执行文件。
可选地,同时对所述多个待分析的可执行文件进行分析,得到所述多个待分析的可执行文件中每个待分析的可执行文件对应的分析信息包括:通过目标虚拟机同时执行所述多个待分析的可执行文件,得到执行结果;根据所述执行结果获取所述多个待分析的可执行文件中每个待分析的可执行文件对应的接口信息,其中,所述接口信息用于指示所述每个待分析的可执行文件在分析过程中调用的接口以及所述调用的接口对应的接口参数,所述分析信息包括所述接口信息。
可选地,通过目标虚拟机同时执行所述多个待分析的可执行文件,得到所述执行结果包括:通过所述目标虚拟机同时执行所述多个待分析的可执行文件;在执行所述多个待分析的可执行文件的过程中,通过目标接口上添加的挂钩hook获取所述多个待分析的可执行文件中每个待分析的可执行文件在执行时调用的所述目标接口发送的所述接口信息;在所述每个待分析的可执行文件执行结束后,将所述接口信息添加到所述每个待分析的可执行文件对应的执行结果中。
可选地,根据所述每个待分析的可执行文件对应的所述分析信息对所述多个待分析的可执行文件进行筛选,得到所述分析信息满足目标条件的目标可执行文件包括:从所述多个待分析的可执行文件中筛选出所述接口信息中的第一接口信息满足所述目标条件的可执行文件作为所述目标可执行文件;根据所述目标可执行文件对应的接口信息中的第二接口信息对所述目标可执行文件进行分析。
根据本发明实施例的另一方面,还提供了一种可执行文件的分析装置,包括:获取模块,用于获取多个待分析的可执行文件;分析模块,用于同时对所述多个待分析的可执行文件进行分析,得到所述多个待分析的可执行文件中每个待分析的可执行文件对应的分析信息;筛选模块,用于根据所述每个待分析的可执行文件对应的所述分析信息对所述多个待分析的可执行文件进行筛选,得到所述分析信息满足目标条件的目标可执行文件。
可选地,所述分析模块包括:执行单元,用于通过目标虚拟机同时执行所述多个待分析的可执行文件,得到执行结果;获取单元,用于根据所述执行结果获取所述多个待分析的可执行文件中每个待分析的可执行文件对应的接口信息,其中,所述接口信息用于指示所述每个待分析的可执行文件在分析过程中调用的接口以及所述调用的接口对应的接口参数,所述分析信息包括所述接口信息。
可选地,所述执行单元包括:执行子单元,用于通过所述目标虚拟机同时执行所述多个待分析的可执行文件;获取子单元,用于在执行所述多个待分析的可执行文件的过程中,通过目标接口上添加的挂钩hook获取所述多个待分析的可执行文件中每个待分析的可执行文件在执行时调用的所述目标接口发送的所述接口信息;添加子单元,用于在所述每个待分析的可执行文件执行结束后,将所述接口信息添加到所述每个待分析的可执行文件对应的执行结果中。
可选地,所述筛选模块包括:筛选单元,用于从所述多个待分析的可执行文件中筛选出所述接口信息中的第一接口信息满足所述目标条件的可执行文件作为所述目标可执行文件;分析单元,用于根据所述目标可执行文件对应的接口信息中的第二接口信息对所述目标可执行文件进行分析。
根据本发明的又一个实施例,还提供了一种存储介质,所述存储介质包括存储的程序,其中,所述程序运行时执行上述任一项所述的方法。
根据本发明的又一个实施例,还提供了一种处理器,所述处理器用于运行程序,其中,所述程序运行时执行上述任一项所述的方法。
在本发明实施例中,通过获取多个待分析的可执行文件;同时对所述多个待分析的可执行文件进行分析,得到所述多个待分析的可执行文件中每个待分析的可执行文件对应的分析信息;根据所述每个待分析的可执行文件对应的所述分析信息对所述多个待分析的可执行文件进行筛选,得到所述分析信息满足目标条件的目标可执行文件的方式,对于获取到的多个待分析的可执行文件能够进行同时的分析,并且能够根据得到的分析信息对可执行文件进行筛选,避免了逐个分析可执行文件,并在一个可执行文件分析后对分析系统进行还原后才能分析下一个可执行文件的现象发生,从而提高了对于可执行文件进行分析时的分析效率,解决了对于可执行文件进行分析时分析效率较低的问题。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是根据本发明实施例的一种可选地可执行文件的分类方法的流程图;
图2是根据本发明实施例的一种可选地可执行文件的分类装置的示意图一;
图3是根据本发明实施例的一种可选地可执行文件的分类装置的示意图二;
图4是根据本发明实施例的一种可选地可执行文件的分类装置的示意图三;以及
图5是根据本发明实施例的一种可选地可执行文件的分类装置的示意图四
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
根据本发明实施例,提供了一种可执行文件的分类方法的方法实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。、
图1是根据本发明实施例的一种可选地可执行文件的分类方法的流程图,如图1所示,该方法包括如下步骤:
步骤S102,获取多个待分析的可执行文件;
步骤S104,同时对多个待分析的可执行文件进行分析,得到多个待分析的可执行文件中每个待分析的可执行文件对应的分析信息;
步骤S106,根据每个待分析的可执行文件对应的分析信息对多个待分析的可执行文件进行筛选,得到分析信息满足目标条件的目标可执行文件。
可选地,在本实施例中,上述可执行文件的分析方法可以但不限于应用于虚拟机上,使用虚拟机对可执行文件进行分析,虚拟机接收虚拟机外发送来的待分析的可执行文件,无论此时虚拟机上是否有可执行文件正在进行分析,虚拟机均可以立即对接收到的待分析的可执行文件进行分析和筛选。
可选地,在本实施例中,上述待分析的可执行文件可以是任意类型的可执行文件,比如待分析的可执行文件可以是未知类型的可执行文件,通过上述分析确定该文件的类型,或者待分析的可执行文件可以是存在安全风险的文件,通过上述分析确定该文件是否为病毒等等。
可选地,在本实施例中,目标可执行文件的分析信息需满足的目标条件可以预先进行设置。例如:可以设置目标条件为操作信息中具有网络连接操作,则通过对待分析的可执行文件的筛选,得到有网络连接操作的可执行文件,从而可以进一步对这些可执行文件的网络连接操作进行分析。
可见,通过上述步骤,对于获取到的多个待分析的可执行文件能够进行同时的分析,并且能够根据得到的分析信息对可执行文件进行筛选,避免了逐个分析可执行文件,并在一个可执行文件分析后对分析系统进行还原后才能分析下一个可执行文件的现象发生,从而提高了对于可执行文件进行分析时的分析效率,解决了对于可执行文件进行分析时分析效率较低的问题。
可选地,可以在目标虚拟机中对接收到的大量待分析的可执行文件同时进行分析,在目标虚拟机中同时执行接收到的大量待分析的可执行文件,并获取接收到的大量待分析的可执行文件在执行过程中产生的接口信息,从而实现对可执行文件的API级别的分析,相比于基于行为的分析更加的深入、精确。例如:在上述步骤S104中,通过目标虚拟机同时执行多个待分析的可执行文件,得到执行结果;根据执行结果获取多个待分析的可执行文件中每个待分析的可执行文件对应的接口信息,其中,接口信息用于指示每个待分析的可执行文件在分析过程中调用的接口以及调用的接口对应的接口参数,分析信息包括接口信息。
可选地,可以在一些主要的API接口添加hook,当这些添加了hook的接口被待分析的可执行文件调用时,就能够通过hook接收到接口调用时的接口信息。例如:可以通过以下方式获取待分析的可执行文件的执行结果:通过目标虚拟机同时执行多个待分析的可执行文件;在执行多个待分析的可执行文件的过程中,通过目标接口上添加的挂钩hook获取多个待分析的可执行文件中每个待分析的可执行文件在执行时调用的目标接口发送的接口信息;在每个待分析的可执行文件执行结束后,将接口信息添加到每个待分析的可执行文件对应的执行结果中。
可选地,可以根据接口信息中的第一接口信息对待分析的可执行文件进行筛选,再根据接口信息中的第二接口信息对这些筛选出的信息进行进一步分析。在上述步骤S106中,从多个待分析的可执行文件中筛选出接口信息中的第一接口信息满足目标条件的可执行文件作为目标可执行文件;根据目标可执行文件对应的接口信息中的第二接口信息对目标可执行文件进行分析。
在一个可选的实施方式中,提供了一个可执行文件的分析系统,虚拟机外给虚拟机内的Agent.exe发送待分析文件(相当于上述待分析的可执行文件),并接收API信息,当分析系统被污染时还原虚拟机。在虚拟机内,Agent.exe用于安装驱动Mondrv.sys;以及接收虚拟机外面传回的待分析文件和文件的分析时间;运行待分析文件,并进行计时,分析超时的情况下若该文件的分析过程还没退出,则结束该文件创建的所有进程;还用于将API调用信息转发给虚拟机外面;当有进程/线程更新时,更新进程/线程表;发现系统被污染时通知外面。
上述Mondrv.sys用于将Monitor.dll注入所有Agent.exe创建的待分析文件的进程;当有待分析进程创建/进程退出/线程创建/线程退出时通知Agent.exe;禁止所有加载驱动、关机、重启、注销等破坏分析环境的行为。
上述Monitor.dll用于Hook一些主要API(如ntdll.dll,kernel32.dll,user32.dll,ws2_32.dll,Netapi32.dll),当有Hook的API被调用时,将调用信息发给Agent.exe,对于一些会破坏分析环境的操作禁止(如远程线程注入、结束其它进程、线程、修改其它进程的内存等操作),对于不影响分析环境的API调用允许其正常执行;还用于计时,当分析超时后通知Agent.exe本进程分析超时,即将退出,然后退出超时的进程;还用于定时检测安装的Hook是否被卸载,若卸载了则通知Agent.exe。
根据本发明的另一方面,本发明实施例还提供了一种存储介质,存储介质包括存储的程序,其中,在程序运行时控制存储介质所在设备执行上述可执行文件的分析方法。
根据本发明的另一方面,本发明实施例还提供了一种处理器,处理器用于运行程序,其中,程序运行时执行上述可执行文件的分析方法。
图2是根据本发明实施例的一种可选地可执行文件的分析装置的示意图一,如图2所示,该装置可以包括:
获取模块22,用于获取多个待分析的可执行文件;
分析模块24,耦合至获取模块22,用于同时对多个待分析的可执行文件进行分析,得到多个待分析的可执行文件中每个待分析的可执行文件对应的分析信息;
筛选模块26,耦合至分析模块24,用于根据每个待分析的可执行文件对应的分析信息对多个待分析的可执行文件进行筛选,得到分析信息满足目标条件的目标可执行文件。
可选地,在本实施例中,上述可执行文件的分析装置可以但不限于应用于虚拟机上,使用虚拟机对可执行文件进行分析,虚拟机接收虚拟机外发送来的待分析的可执行文件,无论此时虚拟机上是否有可执行文件正在进行分析,虚拟机均可以立即对接收到的待分析的可执行文件进行分析和筛选。
可选地,在本实施例中,上述待分析的可执行文件可以是任意类型的可执行文件,比如待分析的可执行文件可以是未知类型的可执行文件,通过上述分析确定该文件的类型,或者待分析的可执行文件可以是存在安全风险的文件,通过上述分析确定该文件是否为病毒等等。
可选地,在本实施例中,目标可执行文件的分析信息需满足的目标条件可以预先进行设置。例如:可以设置目标条件为操作信息中具有网络连接操作,则通过对待分析的可执行文件的筛选,得到有网络连接操作的可执行文件,从而可以进一步对这些可执行文件的网络连接操作进行分析。
可见,通过上述装置,对于获取到的多个待分析的可执行文件能够进行同时的分析,并且能够根据得到的分析信息对可执行文件进行筛选,避免了逐个分析可执行文件,并在一个可执行文件分析后对分析系统进行还原后才能分析下一个可执行文件的现象发生,从而提高了对于可执行文件进行分析时的分析效率,解决了对于可执行文件进行分析时分析效率较低的问题。
图3是根据本发明实施例的一种可选地可执行文件的分析装置的示意图二,如图3所示,可选地,分析模块24包括:
执行单元32,用于通过目标虚拟机同时执行多个待分析的可执行文件,得到执行结果;
获取单元34,耦合至执行单元32,用于根据执行结果获取多个待分析的可执行文件中每个待分析的可执行文件对应的接口信息,其中,接口信息用于指示每个待分析的可执行文件在分析过程中调用的接口以及调用的接口对应的接口参数,分析信息包括接口信息。
可选地,可以在目标虚拟机中对接收到的大量待分析的可执行文件同时进行分析,在目标虚拟机中同时执行接收到的大量待分析的可执行文件,并获取接收到的大量待分析的可执行文件在执行过程中产生的接口信息,从而实现对可执行文件的API级别的分析,相比于基于行为的分析更加的深入、精确。
图4是根据本发明实施例的一种可选地可执行文件的分析装置的示意图三,如图4所示,可选地,执行单元32包括:
执行子单元42,用于通过目标虚拟机同时执行多个待分析的可执行文件;
获取子单元44,耦合至执行子单元42,用于在执行多个待分析的可执行文件的过程中,通过目标接口上添加的挂钩hook获取多个待分析的可执行文件中每个待分析的可执行文件在执行时调用的目标接口发送的接口信息;
添加子单元46,耦合至获取子单元44,用于在每个待分析的可执行文件执行结束后,将接口信息添加到每个待分析的可执行文件对应的执行结果中。
可选地,可以在一些主要的API接口添加hook,当这些添加了hook的接口被待分析的可执行文件调用时,就能够通过hook接收到接口调用时的接口信息。
图5是根据本发明实施例的一种可选地可执行文件的分析装置的示意图四,如图5所示,可选地,筛选模块26包括:
筛选单元52,用于从多个待分析的可执行文件中筛选出接口信息中的第一接口信息满足目标条件的可执行文件作为目标可执行文件;
分析单元54,耦合至筛选单元52,用于根据目标可执行文件对应的接口信息中的第二接口信息对目标可执行文件进行分析。
可选地,可以根据接口信息中的第一接口信息对待分析的可执行文件进行筛选,再根据接口信息中的第二接口信息对这些筛选出的信息进行进一步分析。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
在本发明的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的技术内容,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如单元的划分,可以为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例方法的全部或部分步骤。而前述的存储介质包括:U盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
以上仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。

Claims (10)

1.一种可执行文件的分析方法,其特征在于,包括:
获取多个待分析的可执行文件;
同时对所述多个待分析的可执行文件进行分析,得到所述多个待分析的可执行文件中每个待分析的可执行文件对应的分析信息;
根据所述每个待分析的可执行文件对应的所述分析信息对所述多个待分析的可执行文件进行筛选,得到所述分析信息满足目标条件的目标可执行文件。
2.根据权利要求1所述的方法,其特征在于,同时对所述多个待分析的可执行文件进行分析,得到所述多个待分析的可执行文件中每个待分析的可执行文件对应的分析信息包括:
通过目标虚拟机同时执行所述多个待分析的可执行文件,得到执行结果;
根据所述执行结果获取所述多个待分析的可执行文件中每个待分析的可执行文件对应的接口信息,其中,所述接口信息用于指示所述每个待分析的可执行文件在分析过程中调用的接口以及所述调用的接口对应的接口参数,所述分析信息包括所述接口信息。
3.根据权利要求2所述的方法,其特征在于,通过目标虚拟机同时执行所述多个待分析的可执行文件,得到所述执行结果包括:
通过所述目标虚拟机同时执行所述多个待分析的可执行文件;
在执行所述多个待分析的可执行文件的过程中,通过目标接口上添加的挂钩hook获取所述多个待分析的可执行文件中每个待分析的可执行文件在执行时调用的所述目标接口发送的所述接口信息;
在所述每个待分析的可执行文件执行结束后,将所述接口信息添加到所述每个待分析的可执行文件对应的执行结果中。
4.根据权利要求3所述的方法,其特征在于,根据所述每个待分析的可执行文件对应的所述分析信息对所述多个待分析的可执行文件进行筛选,得到所述分析信息满足目标条件的目标可执行文件包括:
从所述多个待分析的可执行文件中筛选出所述接口信息中的第一接口信息满足所述目标条件的可执行文件作为所述目标可执行文件;
根据所述目标可执行文件对应的接口信息中的第二接口信息对所述目标可执行文件进行分析。
5.一种可执行文件的分析装置,其特征在于,包括:
获取模块,用于获取多个待分析的可执行文件;
分析模块,用于同时对所述多个待分析的可执行文件进行分析,得到所述多个待分析的可执行文件中每个待分析的可执行文件对应的分析信息;
筛选模块,用于根据所述每个待分析的可执行文件对应的所述分析信息对所述多个待分析的可执行文件进行筛选,得到所述分析信息满足目标条件的目标可执行文件。
6.根据权利要求5所述的装置,其特征在于,所述分析模块包括:
执行单元,用于通过目标虚拟机同时执行所述多个待分析的可执行文件,得到执行结果;
获取单元,用于根据所述执行结果获取所述多个待分析的可执行文件中每个待分析的可执行文件对应的接口信息,其中,所述接口信息用于指示所述每个待分析的可执行文件在分析过程中调用的接口以及所述调用的接口对应的接口参数,所述分析信息包括所述接口信息。
7.根据权利要求6所述的装置,其特征在于,所述执行单元包括:
执行子单元,用于通过所述目标虚拟机同时执行所述多个待分析的可执行文件;
获取子单元,用于在执行所述多个待分析的可执行文件的过程中,通过目标接口上添加的挂钩hook获取所述多个待分析的可执行文件中每个待分析的可执行文件在执行时调用的所述目标接口发送的所述接口信息;
添加子单元,用于在所述每个待分析的可执行文件执行结束后,将所述接口信息添加到所述每个待分析的可执行文件对应的执行结果中。
8.根据权利要求7所述的装置,其特征在于,所述筛选模块包括:
筛选单元,用于从所述多个待分析的可执行文件中筛选出所述接口信息中的第一接口信息满足所述目标条件的可执行文件作为所述目标可执行文件;
分析单元,用于根据所述目标可执行文件对应的接口信息中的第二接口信息对所述目标可执行文件进行分析。
9.一种存储介质,其特征在于,所述存储介质包括存储的程序,其中,在所述程序运行时控制所述存储介质所在设备执行权利要求1至4中任意一项所述的方法。
10.一种处理器,其特征在于,所述处理器用于运行程序,其中,所述程序运行时执行权利要求1至4中任意一项所述的方法。
CN201810415712.8A 2018-05-03 2018-05-03 可执行文件的分析方法、装置、存储介质和处理器 Pending CN108829579A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810415712.8A CN108829579A (zh) 2018-05-03 2018-05-03 可执行文件的分析方法、装置、存储介质和处理器

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810415712.8A CN108829579A (zh) 2018-05-03 2018-05-03 可执行文件的分析方法、装置、存储介质和处理器

Publications (1)

Publication Number Publication Date
CN108829579A true CN108829579A (zh) 2018-11-16

Family

ID=64148144

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810415712.8A Pending CN108829579A (zh) 2018-05-03 2018-05-03 可执行文件的分析方法、装置、存储介质和处理器

Country Status (1)

Country Link
CN (1) CN108829579A (zh)

Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102890758A (zh) * 2012-10-11 2013-01-23 北京深思洛克软件技术股份有限公司 一种保护可执行文件的方法及系统
CN105814577A (zh) * 2013-12-27 2016-07-27 迈克菲公司 隔离表现网络活动的可执行文件
CN105989286A (zh) * 2015-08-28 2016-10-05 武汉安天信息技术有限责任公司 一种分析可执行文件判断高危文件的方法及系统
CN106407751A (zh) * 2016-08-31 2017-02-15 北京深思数盾科技股份有限公司 对可执行文件进行保护的方法和装置
CN106570398A (zh) * 2016-09-09 2017-04-19 哈尔滨安天科技股份有限公司 一种基于结构特性的恶意代码启发式检测方法及系统
CN106708554A (zh) * 2016-06-29 2017-05-24 腾讯科技(深圳)有限公司 程序运行方法及装置
CN106776338A (zh) * 2016-12-30 2017-05-31 北京金山安全软件有限公司 一种测试方法、装置及服务器
CN106970871A (zh) * 2016-01-14 2017-07-21 阿里巴巴集团控股有限公司 一种外挂程序检测的方法及装置
CN107133501A (zh) * 2017-03-20 2017-09-05 福建天晴数码有限公司 一种apk文件的安全检测方法及系统
CN107426201A (zh) * 2017-07-13 2017-12-01 北京金山安全管理系统技术有限公司 可执行文件的处理方法及装置、存储介质和处理器
CN107622200A (zh) * 2016-07-14 2018-01-23 腾讯科技(深圳)有限公司 应用程序的安全性检测方法及装置

Patent Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102890758A (zh) * 2012-10-11 2013-01-23 北京深思洛克软件技术股份有限公司 一种保护可执行文件的方法及系统
CN105814577A (zh) * 2013-12-27 2016-07-27 迈克菲公司 隔离表现网络活动的可执行文件
CN105989286A (zh) * 2015-08-28 2016-10-05 武汉安天信息技术有限责任公司 一种分析可执行文件判断高危文件的方法及系统
CN106970871A (zh) * 2016-01-14 2017-07-21 阿里巴巴集团控股有限公司 一种外挂程序检测的方法及装置
CN106708554A (zh) * 2016-06-29 2017-05-24 腾讯科技(深圳)有限公司 程序运行方法及装置
CN107622200A (zh) * 2016-07-14 2018-01-23 腾讯科技(深圳)有限公司 应用程序的安全性检测方法及装置
CN106407751A (zh) * 2016-08-31 2017-02-15 北京深思数盾科技股份有限公司 对可执行文件进行保护的方法和装置
CN106570398A (zh) * 2016-09-09 2017-04-19 哈尔滨安天科技股份有限公司 一种基于结构特性的恶意代码启发式检测方法及系统
CN106776338A (zh) * 2016-12-30 2017-05-31 北京金山安全软件有限公司 一种测试方法、装置及服务器
CN107133501A (zh) * 2017-03-20 2017-09-05 福建天晴数码有限公司 一种apk文件的安全检测方法及系统
CN107426201A (zh) * 2017-07-13 2017-12-01 北京金山安全管理系统技术有限公司 可执行文件的处理方法及装置、存储介质和处理器

Similar Documents

Publication Publication Date Title
CN102279917B (zh) 多杀毒引擎并行杀毒方法及系统
US9117079B1 (en) Multiple application versions in a single virtual machine
US9813377B2 (en) Dynamic provisioning of protection software in a host intrusion prevention system
US8484727B2 (en) System and method for computer malware detection
US8225398B2 (en) System for regulating host security configuration
CN103927198B (zh) 一种软件清理方法及装置
DE60319418T2 (de) Verfahren und system zur heuristischen erkennung von viren in ausführbarem programmkode
CN109145603A (zh) 一种基于信息流的Android隐私泄露行为检测方法和技术
EP2181391A2 (en) Selective monitoring of software applications
CN109871308B (zh) 自动化测试方法及装置、终端设备及计算机可读存储介质
CN107832613A (zh) 一种计算机病毒处理方法
CN109063483B (zh) 一种基于路径追踪的漏洞检测方法及系统
CN104852910B (zh) 一种攻击检测的方法和装置
CN109800569A (zh) 程序鉴别方法及装置
CN106339235B (zh) 一种界面展示方法和装置
CN108319850A (zh) 沙箱检测的方法、沙箱系统和沙箱设备
CN108829579A (zh) 可执行文件的分析方法、装置、存储介质和处理器
Phu et al. An efficient algorithm to extract control flow-based features for iot malware detection
CN106059956A (zh) 一种用于网络设备会话的时间队列处理方法以及装置
CN106685853A (zh) 处理数据的方法及装置
US20130275952A1 (en) System, method, and computer program product for identifying unwanted data based on an assembled execution profile of code
CN109409080A (zh) 一种浏览器https审计方法和装置
CN104680042B (zh) 一种虚拟机性能分析的方法及系统
CN114547595A (zh) 一种面向安全容器的调用路径分析方法
CN109597734A (zh) 报表运行时长的监控方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
TA01 Transfer of patent application right

Effective date of registration: 20190319

Address after: Room A-0003, 2nd floor, 3rd building, 30 Shixing Street, Shijingshan District, Beijing

Applicant after: BEIJING KINGSOFT SECURITY MANAGEMENT SYSTEM TECHNOLOGY Co.,Ltd.

Address before: 510280 Building 901, C1, Guangzhou Information Port, 16 Keyun Road, Tianhe District, Guangzhou City, Guangdong Province

Applicant before: GUANGZHOU JINSHAN SAFETY MANAGEMENT SYSTEM TECHNOLOGY Co.,Ltd.

TA01 Transfer of patent application right
RJ01 Rejection of invention patent application after publication

Application publication date: 20181116

RJ01 Rejection of invention patent application after publication