CN110516445A - 反检测恶意代码的识别方法、装置及存储介质 - Google Patents

Abstract

本发明公开了一种反检测恶意代码的识别方法，包括：识别目标文件是否在虚拟环境中；检测所述目标文件的调试信息；识别所述目标文件中是否存在循环算法信息；根据所述循环算法信息判断所述基本块对应的目标文件内是否存在解码器信息；通过所述调试信息以及所述解码器信息，识别所述目标文件中携带反检测信息的恶意代码。本发明公开的一种反检测恶意代码的识别方法，能够实现对携带反检测技术的恶意代码的识别，以保障用户和企业的信息安全和经济安全。本发明还公开了一种反检测恶意代码的识别装置和存储介质。

Description

反检测恶意代码的识别方法、装置及存储介质

技术领域

本发明涉及计算机领域，尤其涉及一种反检测恶意代码的识别方法、装置及存储介质。

背景技术

随着计算机技术的发展，通过恶意代码对计算机进行安全威胁的事件日益增多，用户和企业的信息安全和经济安全受到严重的威胁。为此出现了众多检测恶意代码的方式。

然而，恶意代码的制造者和传播者为了避免恶意代码被检测到，在恶意代码中加入了环境监测、变形多态引擎加密等反检测手段；其中，环境监测技术使得当恶意代码发现程序处于虚拟机(特别是蜜罐系统)中时，恶意代码就会改变操作行为或者中断执行，以此提高反病毒人员分析恶意软件行为的难度。导致现有技术中的恶意代码检测方式难以检测到携带反检测技术的恶意代码，用户和企业的信息安全和经济安全仍旧处于危险中。

基于上述背景，本发明提供了一种反检测恶意代码的识别方法，实现对携带反检测技术的恶意代码的识别，以使保障用户和企业的信息安全和经济安全。

发明内容

本发明实施例提供一种反检测恶意代码的识别方法，能够实现对携带反检测技术的恶意代码的识别，以保障用户和企业的信息安全和经济安全。

本发明实施例一提供一种反检测恶意代码的识别方法，包括：

识别目标文件是否在虚拟环境中；

检测所述目标文件的调试信息；

识别所述目标文件中是否存在循环算法信息；

根据所述循环算法信息判断所述基本块对应的目标文件内是否存在解码器信息；

通过所述调试信息以及所述解码器信息，识别所述目标文件中携带反检测信息的恶意代码。

作为上述方案的改进，所述识别所述目标文件是否在虚拟环境中，具体包括：

获取虚拟环境的运行内存信息，若所述运行内存大于0，则所述目标文件存在于虚拟环境中。

所述识别所述目标文件是否在虚拟环境中，具体包括：

执行端口读取指令，根据执行所述端口读取指令后所述基地址寄存器中的值判断所述目标文件是否在虚拟环境中。

作为上述方案的改进，所述识别目标文件是否在虚拟环境中，具体包括：

同时执行大量需要所述虚拟环境中的虚拟机监控器处理的敏感指令信息，以及不需要所述虚拟环境中的虚拟机监控器处理的非敏感指令信息；

根据所述敏感指令信息与所述非敏感指令信息的运行时间差判断所述目标文件是否在虚拟环境中。

作为上述方案的改进，所述检测所述目标文件的调试信息，具体包括：

设置调试标志位；

当所述目标文件被进行调试时，操作系统修改所述调试标志位；

根据所述调试标志位的修改信息获得所述目标文件的调试信息。

作为上述方案的改进，所述识别目标文件中是否存在循环算法信息，具体包括：

对所述目标文件的指令进行解码，在解码过程中生成基本块，并以所述基本块为单位进行检测，得到对各个所述基本块进行解码后的指令；

检测每一所述解码后的指令中是否含有对预设的寄存器的操作；

若未含有，退出对所述解码后的指令对应的基本块的检测；

若含有，生成所述解码后的指令对应的基本块的控制流图，判断所述控制流图内是否存在循环结构；若所述控制流图内不存在循环结构，退出对所述控制流图对应的基本块的检测；若所述控制流图内存在循环结构，即所述控制流图对应的基本块内存在循环算法信息。

作为上述方案的改进，所述预设的寄存器包括源变址寄存器和目的变址寄存器中一种或多种的组合。

作为上述方案的改进，还包括：识别所述目标文件中是否存在异常的应用程序编程接口信息。

本发明实施例二对应提供了一种反检测恶意代码的识别装置，包括：处理器、存储器以及存储在所述存储器中且被配置为由所述处理器执行的计算机程序，所述处理器执行所述计算机程序时实现如本发明实施例一所述的一种反检测恶意代码的识别方法。

本发明实施例三对应提供了一种计算机可读存储介质，其特征在于，所述计算机可读存储介质包括存储的计算机程序，其中，在所述计算机程序运行时控制所述计算机可读存储介质所在设备执行如本发明实施例一所述的一种反检测恶意代码的识别方法。

本发明实施例提供的一种反检测恶意代码的识别方法，具有如下有益效果：

通过识别目标文件是否在虚拟环境中，防止当恶意代码的监测到运行环境为虚拟环境而改变操作行为或者中断执行时，恶意代码检测的检测疏漏；通过运行内存判断、端口读取指令判断、时间差判断方法，实现对目标文件所处环境的的较为全面地判定；通过循环算法信息获得解码器信息，异常的应用程序编程接口信息准确、有效地识别出携带变形多态引擎信息的恶意代码，从而提高了识别效率和识别的全面性。

附图说明

图1是本发明实施例一提供的一种反检测恶意代码的识别方法的流程示意图。

图2是本发明实施例一提供的一具体实施例的目标场景模型示意图。

图3是本发明实施例提供的含有变形多态引擎的病毒结构示意图。

图4是本发明实施例提供的一个感染了携带变形多态引擎的恶意代码文件的运行方式示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

参见图1，是本发明实施例一提供的一种反检测恶意代码的识别方法的流程示意图，包括：

S101、识别目标文件是否在虚拟环境中；

S102、检测所述目标文件的调试信息；

S103、识别所述目标文件中是否存在循环算法信息；

S104、根据所述循环算法信息判断所述基本块对应的目标文件内是否存在解码器信息；

S105、通过所述调试信息以及所述解码器信息，识别所述目标文件中携带反检测信息的恶意代码。

进一步地，所述识别所述目标文件是否在虚拟环境中，具体包括：

获取虚拟环境的运行内存信息，若所述运行内存大于0，则所述目标文件存在于虚拟环境中。

进一步地，所述检测所述目标文件的调试信息，具体包括：

设置调试标志位；

当所述目标文件被进行调试时，操作系统修改所述调试标志位；

根据所述调试标志位的修改信息获得所述目标文件的调试信息。

进一步地，所述识别目标文件中是否存在循环算法信息，具体包括：

对所述目标文件的指令进行解码，在解码过程中生成基本块，并以所述基本块为单位进行检测，得到对各个所述基本块进行解码后的指令；

检测每一所述解码后的指令中是否含有对预设的寄存器的操作；

若未含有，退出对所述解码后的指令对应的基本块的检测；并从指令解码结果中取出下一基本块进行检测；

若含有，生成所述解码后的指令对应的基本块的控制流图，判断所述控制流图内是否存在循环结构；若所述控制流图内不存在循环结构，退出对所述控制流图对应的基本块的检测；若所述控制流图内存在循环结构，即所述控制流图对应的基本块内存在循环算法信息。

在具体的实施方式中，因为有些采用变形多态技术的恶意软件会采用多次解码的技术，即先解码一部分加密后的代码，执行一段时间后解码另一部分代码，所以在检测到解码器模块后还要继续执行上述步骤，直到文件解码完毕，这样就可以找到所有包含解码器的基本块。

进一步地，所述预设的寄存器包括源变址寄存器和目的变址寄存器中一种或多种的组合。

优选地，检测每一所述解码后的指令中是否含有对预设的寄存器的操作，即包括检测解码器中的特殊指令；参见图2，在识别是否有循环的过程中会同时识别块内是否有对esi(源变址寄存器)或edi(目的变址寄存器)的操作，或者是否有对esi(源变址寄存器)或edi(目的变址寄存器)进行操作的XOR，LODS，STOS等指令。

进一步地，还包括：识别所述目标文件中是否存在异常的应用程序编程接口(API)信息。

优选地，变形多态技术往往会采用一些特定的API来完成功能，为了提高对变形多态技术检测的准确性，还检测了这些特定的API是否在样本文件中出现。同时会记录下这些API，并生成检测报告，在生成的报告中显示这些API信息。

优选地，当调试信息为调试标志位的被修改时，表示目标文件被自行调试编译，将该目标文件判定为存在携带反检测信息的恶意代码。当解码器信息为存在循环算法信息时，将该目标文件判定为存在携带变形多态引擎信息的恶意代码。

在一具体实施方式中，所述识别所述目标文件是否在虚拟环境中，具体包括：

执行端口读取指令，根据执行所述端口读取指令后所述基地址寄存器中的值判断所述目标文件是否在虚拟环境中。

在另一具体实施方式中，所述识别目标文件是否在虚拟环境中，具体包括：

同时执行大量需要所述虚拟环境中的虚拟机监控器处理的敏感指令信息，以及不需要所述虚拟环境中的虚拟机监控器处理的非敏感指令信息；

根据所述敏感指令信息与所述非敏感指令信息的运行时间差判断所述目标文件是否在虚拟环境中。

在具体的实施例中，在一个多核处理器上两个线程在两个逻辑处理器上分别执行NOP和CPUID指令。NOP指令不会被VMM拦截，而CPUID指令会被VMM拦截处理。通过大量指令执行后，两个线程指令执行数量的比例就可以判断程序的执行环境。除此之外DMA传输、中断延迟、内存访问延迟等等都可以作为时间差别的检测手段。

在具体的实施例中，含有变形多态引擎的病毒结构如图3所示；而图4显示了一个感染了携带变形多态引擎的恶意代码文件是如何运行的。

当程序执行时，将会发生如下的事件：程序执行文件开始处的JMP指令，直接跳转到解密程序，它将解密整个病毒，包含变形多态引擎部分在内。病毒代码解密完成，它将像计算机中的任何其他程序一样被执行。病毒执行结束，通过跳转语句回到被感染文件的原始代码首部，转交控制权给原先被感染的程序。被感染文件的运行方式正好暴露了病毒感染文件的途径，它首先在目标文件头部写一个JMP跳转指令。简单的情况下，可以跳转到被感染文件的尾部，通常在这里要附加上病毒代码。紧随其后，下一步就是调用变形多态引擎产生一个新的解密例程和对应的解密密钥。接着，包括变形多态引擎部分在内的未加密病毒代码装载入内存，用新产生的密钥加密，并附加到解密例程之后。所有处理过的病毒代码再附加到文件尾部，也就是前面加入的JMP跳转到的地方。最后，再加上一个返回宿主程序的JMP指令，感染过程就完成了。

变形多态病毒面对扫描器时，使用了代码修改或代码加密的技术来隐藏自己。常见的策略是：用变化的密钥加密病毒体的主要部分，而保持解密例程不变。为了防止被字符串匹配的方法检测到，一般解密代码在每一次的感染过程中都会改变，使得在保证功能的前提下，尽量不使用固定的指令序列模式。这就使得基于字符串特征的传统检测方法失去了效果。而本发明实施例提供的反检测恶意代码的识别方法用循环算法检测、特定API检测等技术，能够进行全面、准确、有效的变形多态反检测技术的检测。

本发明实施例提供的一种反检测恶意代码的识别方法，具有如下有益效果：

通过识别目标文件是否在虚拟环境中，防止当恶意代码的监测到运行环境为虚拟环境而改变操作行为或者中断执行时，恶意代码检测的检测疏漏；通过运行内存判断、端口读取指令判断、时间差判断方法，实现对目标文件所处环境的的较为全面地判定；通过循环算法信息获得解码器信息，异常的应用程序编程接口信息准确、有效地识别出携带变形多态引擎信息的恶意代码，从而提高了识别效率和识别的全面性。

本发明实施例二对应提供了一种反检测恶意代码的识别装置，包括处理器、存储器以及存储在所述存储器中且被配置为由所述处理器执行的计算机程序，所述处理器执行所述计算机程序时实现如本发明实施例一所述的反检测恶意代码的识别方法。所述反检测恶意代码的识别装置可以是桌上型计算机、笔记本、掌上电脑及云端服务器等计算设备。所述反检测恶意代码的识别装置可包括，但不仅限于，处理器、存储器。

本发明实施例三对应提供了一种计算机可读存储介质，其特征在于，所述计算机可读存储介质包括存储的计算机程序，其中，在所述计算机程序运行时控制所述计算机可读存储介质所在设备执行如本发明实施例一所述的反检测恶意代码的识别方法。

所称处理器可以是中央处理单元(Central Processing Unit，CPU)，还可以是其他通用处理器、数字信号处理器(Digital Signal Processor，DSP)、专用集成电路(Application Specific Integrated Circuit，ASIC)、现场可编程门阵列(Field-Programmable Gate Array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等，所述处理器是所述反检测恶意代码的识别装置的控制中心，利用各种接口和线路连接整个反检测恶意代码的识别装置的各个部分。

所述存储器可用于存储所述计算机程序和/或模块，所述处理器通过运行或执行存储在所述存储器内的计算机程序和/或模块，以及调用存储在存储器内的数据，实现所述反检测恶意代码的识别装置的各种功能。所述存储器可主要包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需的应用程序(比如声音播放功能、图像播放功能等)等；存储数据区可存储根据手机的使用所创建的数据(比如音频数据、电话本等)等。此外，存储器可以包括高速随机存取存储器，还可以包括非易失性存储器，例如硬盘、内存、插接式硬盘，智能存储卡(Smart Media Card,SMC)，安全数字(SecureDigital,SD)卡，闪存卡(Flash Card)、至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。

其中，所述反检测恶意代码的识别装置集成的模块/单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明实现上述实施例方法中的全部或部分流程，也可以通过计算机程序来指令相关的硬件来完成，所述的计算机程序可存储于一计算机可读存储介质中，该计算机程序在被处理器执行时，可实现上述各个方法实施例的步骤。其中，所述计算机程序包括计算机程序代码，所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质可以包括：能够携带所述计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(ROM，Read-OnlyMemory)、随机存取存储器(RAM，Random Access Memory)、电载波信号、电信信号以及软件分发介质等。

需说明的是，以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。另外，本发明提供的装置实施例附图中，模块之间的连接关系表示它们之间具有通信连接，具体可以实现为一条或多条通信总线或信号线。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。

以上所述是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也视为本发明的保护范围。

Claims (10)

1.一种反检测恶意代码的识别方法，其特征在于，包括：

识别目标文件是否在虚拟环境中；

检测所述目标文件的调试信息；

识别所述目标文件中是否存在循环算法信息；

根据所述循环算法信息判断所述基本块对应的目标文件内是否存在解码器信息；

通过所述调试信息以及所述解码器信息，识别所述目标文件中携带反检测信息的恶意代码。

2.如权利要求1所述的一种反检测恶意代码的识别方法，其特征在于，所述识别所述目标文件是否在虚拟环境中，具体包括：

获取虚拟环境的运行内存信息，若所述运行内存大于0，则所述目标文件存在于虚拟环境中。

3.如权利要求1所述的一种反检测恶意代码的识别方法，其特征在于，所述识别所述目标文件是否在虚拟环境中，具体包括：

执行端口读取指令，根据执行所述端口读取指令后所述基地址寄存器中的值判断所述目标文件是否在虚拟环境中。

4.如权利要求1所述的一种反检测恶意代码的识别方法，其特征在于，所述识别目标文件是否在虚拟环境中，具体包括：

同时执行大量需要所述虚拟环境中的虚拟机监控器处理的敏感指令信息，以及不需要所述虚拟环境中的虚拟机监控器处理的非敏感指令信息；

根据所述敏感指令信息与所述非敏感指令信息的运行时间差判断所述目标文件是否在虚拟环境中。

5.如权利要求1所述的一种反检测恶意代码的识别方法，其特征在于，所述检测所述目标文件的调试信息，具体包括：

设置调试标志位；

当所述目标文件被进行调试时，操作系统修改所述调试标志位；

根据所述调试标志位的修改信息获得所述目标文件的调试信息。

6.如权利要求1所述的一种反检测恶意代码的识别方法，其特征在于，所述识别目标文件中是否存在循环算法信息，具体包括：

对所述目标文件的指令进行解码，在解码过程中生成基本块，并以所述基本块为单位进行检测，得到对各个所述基本块进行解码后的指令；

检测每一所述解码后的指令中是否含有对预设的寄存器的操作；

若未含有，退出对所述解码后的指令对应的基本块的检测；

若含有，生成所述解码后的指令对应的基本块的控制流图，判断所述控制流图内是否存在循环结构；若所述控制流图内不存在循环结构，退出对所述控制流图对应的基本块的检测；若所述控制流图内存在循环结构，即所述控制流图对应的基本块内存在循环算法信息。

7.如权利要求6所述的一种反检测恶意代码的识别方法，其特征在于，所述预设的寄存器包括源变址寄存器和目的变址寄存器中一种或多种的组合。

8.如权利要求1所述的一种反检测恶意代码的识别方法，其特征在于，还包括：识别所述目标文件中是否存在异常的应用程序编程接口信息。

9.一种反检测恶意代码的识别装置，包括处理器、存储器以及存储在所述存储器中且被配置为由所述处理器执行的计算机程序，所述处理器执行所述计算机程序时实现如权利要求1至8中任意一项所述的一种反检测恶意代码的识别方法。

10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质包括存储的计算机程序，其中，在所述计算机程序运行时控制所述计算机可读存储介质所在设备执行如权利要求1至8中任意一项所述的一种反检测恶意代码的识别方法。