[发明专利]基于动态沙箱环境的恶意代码分析方法及系统

说明书

技术领域

本发明涉及计算机网络安全技术领域，尤其涉及一种基于动态沙箱环境的恶意代码分析方法及系统。

背景技术

现有恶意代码分析方法中，采用沙箱分析恶意代码已经成为目前对恶意代码进行动态判断的一个主要手段，其中对恶意代码依赖环境的模拟方式主要是通过预先准备环境，或者进行全分支回溯。预先准备环境的方式，经常很难满足恶意代码分析需要，一方面可能准备的环境恶意代码样本不需要，另一方面如果准备的环境过多，例如进程、窗口等，则会耗费大量资源。而全分支回溯方式则导致分支指数级别增长，基本是时间超长，条件太多导致NP问题。如果只返回调用的API条件的真假，则后续动作比如注入进程的注入代码的行为则无法发现，再如查找特定程序目录返回成功，但目录不存在则无法写入，引发程序崩溃，另外利用回溯进行无限的分支尝试输入，将导致程序分析陷入超长时间，同时很多分支无法预测，是分析稍微复杂的程序变得不可行。

发明内容

本发明提供了一种基于动态沙箱环境的恶意代码分析方法，解决了预先准备环境或全分支回溯导致耗费系统资源，恶意代码分析不彻底等问题，能够动态满足恶意代码需求，并减少资源耗费。

一种基于动态沙箱环境的恶意代码分析方法，包括：

将恶意代码投放到带有监控的虚拟机中；

运行并监控所述恶意代码，获得与系统核心资源相关的进程调用和字符串信息；

判断系统核心资源规则库中是否包含所述进程调用和字符串信息，如果是，则模拟对应系统核心资源，否则丢弃所述进程调用和字符串信息；

判断恶意代码是否执行完毕，如果是，则捕获动态模拟后的恶意代码信息记录，否则继续监控所述恶意代码。循环进行监控和判断，直到恶意代码运行完成。

所述的方法中，预先建立系统核心资源规则库，所述系统核心资源规则库至少包括进程调用和字符串信息对应的进程、窗口、网络、注册表、移动磁盘、系统目录文件。

一种基于动态沙箱环境的恶意代码分析系统，包括：

分发模块，用于将恶意代码投放到带有监控的虚拟机中；

执行模块，用于运行并监控所述恶意代码，获得与系统核心资源相关的进程调用和字符串信息；

第一判断模块，用于判断系统核心资源规则库中是否包含所述进程调用和字符串信息，如果是，则模拟对应系统资源，否则丢弃所述进程调用和字符串信息；

第二判断模块，用于判断恶意代码是否执行完毕，如果是，则捕获动态模拟后的恶意代码信息记录，否则执行模块继续监控所述恶意代码。

所述的系统中，预先建立系统核心资源规则库，所述系统核心资源规则库至少包括进程调用和字符串信息对应的进程、窗口、网络、注册表、移动磁盘、系统目录文件。

本发明方法及系统的优势在于能够根据恶意代码行为需要，动态模拟满足系统核心资源，激发恶意代码重要分支行为，能够在短时间达到捕获效果，减少资源耗费，并且捕获效果好，能够深度诱发进一步的恶意行为。

本发明提供了一种基于动态沙箱环境的恶意代码分析方法及系统，包括：将恶意代码投放到带有监控的虚拟机中；运行并监控所述恶意代码，获得与系统核心资源相关的进程调用和字符串信息；判断系统核心资源规则库中是否包含所述进程调用和字符串信息，如果是，则模拟对应系统核心资源，否则丢弃所述进程调用和字符串信息；判断恶意代码是否执行完毕，如果是，则捕获动态模拟后的恶意代码信息记录，否则继续监控所述恶意代码。通过本发明的方法，能够根据恶意代码运行需要，动态模拟满足恶意代码分析需求，并减少资源耗费，达到高性价比获取恶意代码行为信息。

附图说明

为了更清楚地说明本发明或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明中记载的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明一种基于动态沙箱环境的恶意代码分析方法流程图；

图2为本发明一种基于动态沙箱环境的恶意代码分析系统结构示意图。

具体实施方式

为了使本技术领域的人员更好地理解本发明实施例中的技术方案，并使本发明的上述目的、特征和优点能够更加明显易懂，下面结合附图对本发明中技术方案作进一步详细的说明。

本发明提供了一种基于动态沙箱环境的恶意代码分析方法，解决了预先准备环境或全分支回溯导致耗费系统资源，恶意代码分析不彻底等问题，能够动态满足恶意代码需求，并减少资源耗费。