CN114491543A - 一种针对新出现恶意代码的分析方法 - Google Patents

一种针对新出现恶意代码的分析方法 Download PDF

Info

Publication number
CN114491543A
CN114491543A CN202210407127.XA CN202210407127A CN114491543A CN 114491543 A CN114491543 A CN 114491543A CN 202210407127 A CN202210407127 A CN 202210407127A CN 114491543 A CN114491543 A CN 114491543A
Authority
CN
China
Prior art keywords
malicious
malicious code
analysis
code
codes
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210407127.XA
Other languages
English (en)
Inventor
纪佳佳
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nanjing Weiyue Network Technology Co ltd
Original Assignee
Nanjing Weiyue Network Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nanjing Weiyue Network Technology Co ltd filed Critical Nanjing Weiyue Network Technology Co ltd
Priority to CN202210407127.XA priority Critical patent/CN114491543A/zh
Publication of CN114491543A publication Critical patent/CN114491543A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/563Static detection by source code analysis

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了一种针对新出现恶意代码的分析方法,其涉及恶意代码分析领域,旨在解决恶意代码检测后不能使用相匹配的方法进行杀毒,降低了整体对恶意代码分析和处理效果的问题,其技术方案要点是包括其步骤如下:S1:配置模拟运行参数,S2:运行测试,将配置的运行参数和检测数据载入储存硬件中进行检测,S3:恶意代码分析,设置恶意代码分析程序对产生的恶意代码种类进行分析,S4:混合代码处理,根据恶意代码分析程序分析得出的恶意代码种类进行相应的解决,S5:记录与预防,设置程序对上次恶意代码分析的恶意代码种类和情况进行记录。达到了多种类恶意代码检测、对应解决恶意代码与新恶意代码录入便于检测的效果。

Description

一种针对新出现恶意代码的分析方法
技术领域
本发明涉及恶意代码分析技术领域,尤其是涉及一种针对新出现恶意代码的分析方法。
背景技术
恶意代码又称恶意软件,这些软件也可称为广告软件、间谍软件、恶意共享软件,是指在未明确提示用户或未经用户许可的情况下,在用户计算机或其他终端上安装运行,侵犯用户合法权益的软件,与病毒或蠕虫不同,这些软件很多不是小团体或者个人秘密地编写和散播,反而有很多知名企业和团体涉嫌此类软件,有时也称作流氓软件。
现有的恶意代码检测则是通过测试数据对硬盘内部的软件进行检测,在进行两次检测后将第一次检测结果与第二次检测结果进行比较,如果结果产生较大的变化,则硬盘里的软件内部具有恶意软件。
上述中的现有技术方案存在以下缺陷:随着时代的变化,恶意代码的传播不单纯依赖软件漏洞或者社会工程中的某一种,而可能是它们的混合,比如蠕虫产生寄生的文件病毒,特洛伊程序,口令窃取程序,后门程序,进一步模糊了蠕虫、病毒和特洛伊的区别,但是现有的检测方法只能对单一的病毒程序进行检测,导致检测后不能使用相匹配的方法进行杀毒,降低了整体对恶意代码的分析和处理效果。
发明内容
本发明的目的是提供一种代替机械结构进行能检测和控制的新型数字电位器的压力检测系统。
为实现上述目的,本发明提供了如下技术方案:
一种针对新出现恶意代码的分析方法,其步骤如下:
S1:配置模拟运行参数,设置一组运行数据,保证数据运行过程中可以对储存硬件中的软件进行测试和校验,同时设置一组检测数据,对储存硬件内部的文件数量进行检测,并增加检测出相应恶意程序的运行参数,接着设置文本参数,当整体检测出恶意程序时,打开文本程序;
S2:运行测试,将配置的运行参数载入储存硬件中进行检测,使用模拟运行参数进行若干次模拟运行,并将基准值与运行参数时所产生的的数值进行对比,并使用检测数据对储存硬件内部的文件数量进行检测,对储存硬件进行若干次检测并得出数据进行比较,以得出储存硬件内部的恶意代码;
S3:恶意代码分析,设置恶意代码分析程序对产生的恶意代码种类进行分析,同时设置结果分析成型对运行参数和检测数据对储存硬件内部软件进行检测后产生的数据进行分析,根据检测产生的情况对恶意代码进行分析,得出恶意代码的种类;
S4:混合代码处理,根据恶意代码分析程序分析得出的恶意代码种类进行相应的解决,自动开启注册表与文本程序,根据恶意代码种类打开不同的文本程序,同时文本程序记载方法对储存硬件中的恶意软件进行手动清除;
S5:记录与预防,设置程序对上次恶意代码分析的恶意代码种类和情况进行记录,并对记录的信息进行上传,以便于下次对新型恶意代码进行扫描和分析。
进一步的,所述S1中的运行数据和保证数据包括有可以检测运行状态和硬件内部软件数量的编程码,所述S1中的运行数据和保证数据至少设置有两组。
进一步的,所述S1中的文本程序中记录内容为常见恶意代码种类和解决方法,所述S1中的文本程序解决方法与恶意代码种类相适配。
进一步的所述S3中的恶意代码分析分为两组,所述S4中的恶意代码分析一种为根据恶意代码本身代码分析,所述S4中的恶意代码分析另一种为产生情况分析。
进一步的,所述S4混合代码处理后再次回溯进入S2进行验算,所述混合代码处理后回溯进入S2验算的数据直接进入S5。
进一步的,所述S5记录与预防具体记录组合式恶意代码的组合种类,所述S5记录与预防记录的内容与文本程序内容同步更新。
综上所述,本发明的有益技术效果为:
1、采用了运行参数和检测数据,通过不同的检测手段对整体内部的恶意代码进行分析,从而保证整体可以检测出不同种类的恶意代码,产生多种类恶意代码检测的效果;
2、采用了文本程序与恶意代码种类进行匹配,保证整体检测出恶意代码后可以弹出相应的解决方案,保证使用者可以根据自己喜好的方式对恶意代码进行删除,产生对应解决恶意代码的效果;
3、采用了混合代码记录,对多种类代码组合式的新混合代码进行检测和记录,便于对新出现的代码进行录入,可以在后期检测时直接分析出代码情况,产生新恶意代码录入便于检测的效果。
具体实施方式
以下对本发明方法作进一步详细说明。
一种针对新出现恶意代码的分析方法,其步骤如下:
S1:配置模拟运行参数,设置一组运行数据,保证数据运行过程中可以对储存硬件中的软件进行测试和校验,同时设置一组检测数据,对储存硬件内部的文件数量进行检测,并增加检测出相应恶意程序的运行参数,接着设置文本参数,当整体检测出恶意程序时,打开文本程序,文本程序记录各种恶意程序的解决方法,运行数据和保证数据包括有可以检测运行状态和硬件内部软件数量的编程码,运行数据和保证数据至少设置有两组,文本程序中记录内容为常见恶意代码种类和解决方法,文本程序解决方法与恶意代码种类相适配;
S2:运行测试,将配置的运行参数载入储存硬件中进行检测,使用模拟运行参数进行若干次模拟运行,并将基准值与运行参数时所产生的的数值进行对比,并使用检测数据对储存硬件内部的文件数量进行检测,对储存硬件进行若干次检测并得出数据进行比较,以得出储存硬件内部的恶意代码;
S3:恶意代码分析,设置恶意代码分析程序对产生的恶意代码种类进行分析,同时设置结果分析成型对运行参数和检测数据对储存硬件内部软件进行检测后产生的数据进行分析,根据检测产生的情况对恶意代码进行分析,得出恶意代码的种类,恶意代码分析分为两组,恶意代码分析一种为根据恶意代码本身代码分析,所述S4中的恶意代码分析另一种为产生情况分析,恶意代码种类有谍件、远程访问特洛伊、zombies程序、非法访问权限、键盘记录程序、P2P系统和逻辑炸弹,谍件与商业产品软件有关,有些商业软件产品在安装到用户机器上的时候,未经用户授权就通过Internet连接,让用户方软件与开发商软件进行通信,这部分通信软件就叫做谍件,远程访问特洛伊RAT 是安装在受害者机器上,实现非授权的网络访问的程序,比如NetBus 和SubSeven 可以伪装成其他程序,迷惑用户安装,比如伪装成可以执行的电子邮件,或者Web下载文件,或者游戏和贺卡等,也可以通过物理接近的方式直接安装,zombies程序可以利用网络上计算机系统的安全漏洞将自动攻击脚本安装到多台主机上,这些主机成为受害者而听从攻击者指挥,在某个时刻,汇集到一起去再去攻击其他的受害者,非法访问权限可以口令破解、网络嗅探和网络漏洞扫描是公司内部人员侦察同事,取得非法的资源访问权限的主要手段,这些攻击工具不是自动执行, 而是被隐蔽地操纵,键盘记录程序防止雇员不适当的使用资源,或者收集罪犯的证据,这种软件也可以被攻击者用来进行信息刺探和网络攻击,逻辑炸弹和时间炸弹是以破坏数据和应用程序为目的的程序,一般是由组织内部有不满情绪的雇员植入, 逻辑炸弹和时间炸弹对于网络和系统有很大程度的破坏;
S4:混合代码处理,根据恶意代码分析程序分析得出的恶意代码种类进行相应的解决,自动开启注册表与文本程序,根据恶意代码种类打开不同的文本程序,同时文本程序记载方法对储存硬件中的恶意软件进行手动清除,混合代码不单纯依赖软件漏洞或者社会工程中的某一种,而可能是恶意代码的混合,比如蠕虫产生寄生的文件病毒,特洛伊程序,口令窃取程序,后门程序,进一步模糊了蠕虫、病毒和特洛伊的区别,可以在不同的环境下进行传播,不方便整体进行界定,同时产生情况内有现有多种常见情况:1)默认主页被修改,并使用文本记录清除方法,采用手动修改注册表法,开始菜单->运行->regedit->确定,打开注册表编辑工具,按顺序依次打开:HKEY_LOCAL_USER\Software\Microsoft\Internet Explorer\Main 分支,找到Default_Page_URL键值名(用来设置默认主页),在右窗口点击右键进行修改即可;2)默认首页被修改,清除方法为采用手动修改注册表法,开始菜单->运行->regedit->确定,打开注册表编辑工具,按如下顺序依次打开:HKEY_LOCAL_USER\Software\Microsoft\Internet Explorer\Main分支,找到StartPage键值名(用来设置默认首页),在右窗口点击右键进行修改即可;3)默认微软主页被修改,清除方法为开始菜单->运行->regedit->确定,打开注册表编辑工具,按如下顺序依次打开:HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Main分支,找到Default_Page_URL键值名(用来设置默认微软主页),在右窗口点击右键;4)主页设置被禁用,清除方法为开始菜单->运行->regedit->确定,打开注册表编辑工具,按如下顺序依次打开:HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\分支,新建“ControlPanel”主键,然后在此主键下新建键值名为“HomePage”的DWORD值,值为“00000000”;5)源文件被禁用,清除方法为手动修改注册表法:开始菜单->运行->regedit->确定,打开注册表编辑工具,第一,按如下顺序依次打开:HKEY_CURRENT_USER\Software\Policies\Microsoft\InternetExplorer\Restrictions分支,找到"NoViewSource"键值名,将其键值设为“00000000”,自动文件导入注册表法:请把以下内容输入或粘贴复制到记事本内,以扩展名为reg的任意文件名存在C盘的任一目录下,然后执行此文件,根据提示,一路确认,即可显示成功导入注册表,[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions] "NoViewSource"=dword:00000000
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Internet Explorer\Restrictions] "NoViewSource"=dword:00000000,
S4混合代码处理后再次回溯进入S2进行验算,所述混合代码处理后回溯进入S2验算的数据直接进入S5;
S5:记录与预防,设置程序对上次恶意代码分析的恶意代码种类和情况进行记录,并对记录的信息进行上传,以便于下次对新型恶意代码进行扫描和分析,记录与预防具体记录组合式恶意代码的组合种类,记录与预防记录的内容与文本程序内容同步更新。
本具体实施方式的实施例均为本发明的较佳实施例,并非依此限制本发明的保护范围,故:凡依本发明的结构、形状、原理所做的等效变化,均应涵盖于本发明的保护范围之内。

Claims (6)

1.一种针对新出现恶意代码的分析方法,其特征在于:其步骤如下:
S1:配置模拟运行参数,设置一组运行数据,保证数据运行过程中可以对储存硬件中的软件进行测试和校验,同时设置一组检测数据,对储存硬件内部的文件数量进行检测,并增加检测出相应恶意程序的运行参数,接着设置文本参数,当整体检测出恶意程序时,打开文本程序;
S2:运行测试,将配置的运行参数载入储存硬件中进行检测,使用模拟运行参数进行若干次模拟运行,并将基准值与运行参数时所产生的的数值进行对比,并使用检测数据对储存硬件内部的文件数量进行检测,对储存硬件进行若干次检测并得出数据进行比较,以得出储存硬件内部的恶意代码;
S3:恶意代码分析,设置恶意代码分析程序对产生的恶意代码种类进行分析,同时设置结果分析成型对运行参数和检测数据对储存硬件内部软件进行检测后产生的数据进行分析,根据检测产生的情况对恶意代码进行分析,得出恶意代码的种类;
S4:混合代码处理,根据恶意代码分析程序分析得出的恶意代码种类进行相应的解决,自动开启注册表与文本程序,根据恶意代码种类打开不同的文本程序,同时文本程序记载方法对储存硬件中的恶意软件进行手动清除;
S5:记录与预防,设置程序对上次恶意代码分析的恶意代码种类和情况进行记录,并对记录的信息进行上传,以便于下次对新型恶意代码进行扫描和分析。
2.根据权利要求1所述的一种针对新出现恶意代码的分析方法,其特征在于:所述S1中的运行数据和保证数据包括有可以检测运行状态和硬件内部软件数量的编程码,所述S1中的运行数据和保证数据至少设置有两组。
3.根据权利要求1所述的一种针对新出现恶意代码的分析方法,其特征在于:所述S1中的文本程序中记录内容为常见恶意代码种类和解决方法,所述S1中的文本程序解决方法与恶意代码种类相适配。
4.根据权利要求1所述的一种针对新出现恶意代码的分析方法,其特征在于:所述S3中的恶意代码分析分为两组,所述S4中的恶意代码分析一种为根据恶意代码本身代码分析,所述S4中的恶意代码分析另一种为产生情况分析。
5.根据权利要求1所述的一种针对新出现恶意代码的分析方法,其特征在于:所述S4混合代码处理后再次回溯进入S2进行验算,所述混合代码处理后回溯进入S2验算的数据直接进入S5。
6.根据权利要求1所述的一种针对新出现恶意代码的分析方法,其特征在于:所述S5记录与预防具体记录组合式恶意代码的组合种类,所述S5记录与预防记录的内容与文本程序内容同步更新。
CN202210407127.XA 2022-04-19 2022-04-19 一种针对新出现恶意代码的分析方法 Pending CN114491543A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210407127.XA CN114491543A (zh) 2022-04-19 2022-04-19 一种针对新出现恶意代码的分析方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210407127.XA CN114491543A (zh) 2022-04-19 2022-04-19 一种针对新出现恶意代码的分析方法

Publications (1)

Publication Number Publication Date
CN114491543A true CN114491543A (zh) 2022-05-13

Family

ID=81489592

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210407127.XA Pending CN114491543A (zh) 2022-04-19 2022-04-19 一种针对新出现恶意代码的分析方法

Country Status (1)

Country Link
CN (1) CN114491543A (zh)

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103843002A (zh) * 2011-09-07 2014-06-04 迈可菲公司 使用云技术对恶意软件的动态清理
CN104580133A (zh) * 2013-10-25 2015-04-29 纬创资通股份有限公司 恶意程序防护方法与系统及其过滤表格更新方法
CN107644161A (zh) * 2016-07-22 2018-01-30 阿里巴巴集团控股有限公司 样本的安全测试方法、装置和设备
CN110046494A (zh) * 2019-04-24 2019-07-23 广州知弘科技有限公司 基于终端的大数据处理方法及系统
CN111967007A (zh) * 2020-08-24 2020-11-20 北京微步在线科技有限公司 一种恶意程序处理方法及装置
CN113569240A (zh) * 2021-07-28 2021-10-29 杭州薮猫科技有限公司 恶意软件的检测方法、装置及设备
CN114172703A (zh) * 2021-11-26 2022-03-11 杭州安恒信息技术股份有限公司 一种恶意软件识别方法、装置、介质

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103843002A (zh) * 2011-09-07 2014-06-04 迈可菲公司 使用云技术对恶意软件的动态清理
CN104580133A (zh) * 2013-10-25 2015-04-29 纬创资通股份有限公司 恶意程序防护方法与系统及其过滤表格更新方法
CN107644161A (zh) * 2016-07-22 2018-01-30 阿里巴巴集团控股有限公司 样本的安全测试方法、装置和设备
CN110046494A (zh) * 2019-04-24 2019-07-23 广州知弘科技有限公司 基于终端的大数据处理方法及系统
CN111967007A (zh) * 2020-08-24 2020-11-20 北京微步在线科技有限公司 一种恶意程序处理方法及装置
CN113569240A (zh) * 2021-07-28 2021-10-29 杭州薮猫科技有限公司 恶意软件的检测方法、装置及设备
CN114172703A (zh) * 2021-11-26 2022-03-11 杭州安恒信息技术股份有限公司 一种恶意软件识别方法、装置、介质

Similar Documents

Publication Publication Date Title
Monnappa Learning Malware Analysis: Explore the concepts, tools, and techniques to analyze and investigate Windows malware
US10599841B2 (en) System and method for reverse command shell detection
CN109684832B (zh) 检测恶意文件的系统和方法
EP3462698B1 (en) System and method of cloud detection, investigation and elimination of targeted attacks
Javaheri et al. Detection and elimination of spyware and ransomware by intercepting kernel-level system routines
US9106697B2 (en) System and method for identifying unauthorized activities on a computer system using a data structure model
RU2726032C2 (ru) Системы и способы обнаружения вредоносных программ с алгоритмом генерации доменов (dga)
RU2697954C2 (ru) Система и способ создания антивирусной записи
US11706251B2 (en) Simulating user interactions for malware analysis
Kardile Crypto ransomware analysis and detection using process monitor
CN114491543A (zh) 一种针对新出现恶意代码的分析方法
CN113824678A (zh) 处理信息安全事件以检测网络攻击的系统和方法
Saudi et al. Edowa worm classification
Venkatraman Autonomic context-dependent architecture for malware detection
Anuar et al. Mobile Malware Behavior through Opcode Analysis
Raffa Testing antivirus in linux: An investigation on the effectiveness of solutions available for desktop computers
Li et al. Agis: Towards automatic generation of infection signatures
EP3522058B1 (en) System and method of creating antivirus records
Cusack Botnet forensic investigation techniques and cost evaluation
Ramadan et al. Redline Stealer Malware Analysis with Surface, Runtime, and Static Code Methods
Yli-Lankoski Designing and Implementing a Secure Reverse-Engineering Environment for Windows-based Malware
Palavicini Bridging the detection gap: a study on a behavior-based approach using malware techniques
Xiong et al. Experimental Design of Intranet Penetration for Anti Anti-Virus Traffic Characterization
Manjeera et al. Preventing Malicious Use of Keyloggers Using Anti-Keyloggers
Lim et al. Malware attacks intelligence in higher education networks

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20220513