[发明专利]恶意程序动态行为自动化分析系统与方法

权利要求书

1.恶意程序动态行为自动化分析系统，其特征在于包括如下组成部件：

初始化部件：恶意行为自动化分析系统首先在监控方式下启动被分析的未知二进制程序，并将虚拟执行部件远程注入到目标二进制程序进程空间内，并初始化虚拟执行部件。同时，加载行为监控部件，其中包含有默认的恶意行为规则库。可通过用户接口添加、删除和修改行为规则库中的内容。

反汇编部件：恶意行为自动化分析系统获取目标二进制程序的代码流，由反汇编部件生成对应的汇编代码，逐条分析得到的汇编指令。反汇编部件用于动态构建与目标代码流相一致的汇编指令流。

虚拟执行部件：恶意行为自动化分析系统针对反汇编部件生成的目标程序汇编指令流，当遇到控制转移指令，或基本块的累计指令数目超出用户定义的范围时，设置为该基本块的结束。同时，虚拟执行部件以虚拟执行的方式执行基本块中的每条指令。

行为监控部件：恶意行为自动化分析系统针对虚拟执行部件生成的每个基本块，判断其中是否存在有规则库中的恶意行为指令。若不存在，则由虚拟执行部件虚拟执行各条指令。若存在，将控制权转移给行为分析部件，记录下该恶意行为，之后将控制权返回给虚拟执行部件。

行为分析部件：恶意行为自动化分析系统根据记录下的恶意行为，按照行为的作用范围和严重程度，对该未知二进制程序的恶意行为进行分析归类。同时，提供针对该恶意程序有效的防御方法和手动卸载方法。

2.根据权利要求1所述的恶意程序动态行为自动化分析系统，其特征在于：虚拟执行部件的结构组成包括：基本块生成模块，基本块缓存模块，基本块预处理模块和虚拟执行模块。基本块生成模块调用反汇编部件，对获取的二进制代码流进行分析，生成不包含控制转移指令的基本块。这就使得目标代码流的所有执行都能够保持在虚拟执行系统的控制范围内。生成的基本块存放在基本块缓存内后，经过执行预处理条运行效率。只有存在于基本块缓存内的代码指令才能执行，原始的目标代码流不能直接执行。基本块预处理模块为了提升系统的运行性能，采用了基本块结合技术和标准代码忽略技术，以此减小运行时的延迟。

3.根据权利要求1所述的恶意程序动态行为自动化分析系统，其特征在于：行为监控部件的恶意行为对象组成包括：进程/线程行为模块，内存空间访问行为模块，文件系统访问行为模块，注册表系统访问行为模块，网络系统访问行为模块等。进程/线程模块包括了进程创建行为，进程结束行为，远程线程创建行为，远程线程结束行为，进程悬挂行为，进程激活行为，线程悬挂行为，线程激活行为，进程优先级改变行为，以及进程调试行为，动态链接库加载行为，驱动程序加载行为等。内存空间访问行为模块包括直接访问物理内存行为，远程进程内存空间访问行为等。文件系统访问行为模块主要包括文件的创建行为，删除行为，修改行为等。注册表系统访问行为模块主要包括注册表的键和值的创建行为，删除行为和修改行为等。网络系统访问行为模块包括远程网络的主动连接行为，本地网络的监听行为等。

4.根据权利要求1所述的恶意程序动态行为自动化分析方法，其特征在于：

步骤(1)，初始化部件启动目标二进制程序；

步骤(2)，加载虚拟执行部件和行为监控部件；

步骤(3)，反汇编部件获取目标程序二进制代码流的汇编指令；

步骤(4)，虚拟执行部件切片生成相应的基本块；

步骤(5)，行为监控部件判断基本块内是否存在规则库中的恶意行为；

步骤(6)，若存在恶意行为，将控制权转移给行为分析部件，记录该恶意行为；

步骤(7)，虚拟执行基本块中的每条指令；

步骤(8)，停止分析后，行为分析部件提交恶意行为分析报告。

5.根据权利要求4所述的恶意程序动态行为自动化分析方法，其特征在于：虚拟执行部件将目标代码流分解成多个指令集，以模拟代码流正常执行的方式执行基本块中的每条指令，该过程实现代码的局部执行，而指令集则组成了虚拟执行的基本块。每个基本块是没有包含分支语句的指令序列，在满足以下条件发生时结束代码流切片：无条件控制转移指令；条件控制转移指令；规定数量的非控制转移指令集。