[发明专利]针对计算机病毒的动态行为捕获方法

权利要求书

1.针对计算机病毒的动态行为捕获方法，其特征在于，包括以下步骤：

(1)将API的调用设置为EXCEPTION_DEBUG_EVENT调试事件，由系统内核捕获这个事件后通知调试器；

(2)通过设置捕获引擎并在确定对指定样本进程进行分析之后，检查被分析样本进程加载了哪些系统DLL，然后根据工作目录下的HOOKDLL的导出函数表，在被分析样本进程中确定API调用入口，同时在这些确定的API调用入口处设置调试断点，捕获程序执行到调试断点便会发生中断事件；

(3)系统内核通过捕获工具注射一个动态链接库至恶意代码进程空间，用这个动态链接库来分析API的堆栈内容。

2.根据权利要求1的针对计算机病毒的动态行为捕获方法，其特征在于，当样本进程执行到调试断点处会产生中断事件，通过调试子系统获得断点发生时被分析样本进程的执行环境，并将中断时的堆栈参数送至HOOKDLL中相应的处理函数进行具体分析。

3.根据权利要求1的针对计算机病毒的动态行为捕获方法，其特征在于，所述捕获引擎的输入项包括样本进程、捕获引擎的所在目录和目录下所有HOOKDLL名及HOOKDLL导出函数表。

4.根据权利要求1的针对计算机病毒的动态行为捕获方法，其特征在于，所述捕获引擎在捕获到调试中断之后，会调用HOOKDLL中相应的函数进行处理，这些函数采用相同的参数表，这个参数表就是行为捕获引擎的输出，定义为TracerFunc函数指针，所述TracerFunc函数指针具体定义为typedef VOID(*TracerFunc)(DWORD TraceMode，CTraceInfo  *pInfo，API_TRACE_INFO&pApiInfo，DWORD*pdwRet，ADV_CONTROL*pControl)；该接口由所有的HookD11处理函数共享。

5.根据权利要求1的针对计算机病毒的动态行为捕获方法，其特征在于，所述捕获引擎的主要部分是一个循环，处理来自内核的调试事件，循环体内先等待一个调试事件，然后处理之，最后将控制权交还给调试服务器。

6.根据权利要求1的针对计算机病毒的动态行为捕获方法，其特征在于，所述捕获引擎关注EXCEPTION_DEBUG_EVENT调试事件的发生，每次设置了断点的Win32API一旦被调用，就会触发一次EXCEPTION_DEBUG_EVENT调试事件；每调用一次设置了断点的Win32API，捕获引擎查找这些动态链接库是否存在有同名函数，一旦发现即转入HOOKDLL动态链接库。

7.根据权利要求6的针对计算机病毒的动态行为捕获方法，其特征在于，所述捕获引擎开始工作的时候，启动要调试程序的新进程或者挂接到一个已运行进程上，此时启动调试接口的服务器端；使用WaitForDebugEvent函数等待调试服务器端的调试事件的发生；根据事件进行相应的处理；最后使用ContinueDebugEvent函数请求调试服务器继续执行被调试进程，以等待并处理下一个调试事件。