[发明专利]一种动态多级恶意代码行为分析方法及系统

权利要求书

1.一种动态多级恶意代码行为分析方法，其步骤包括：

1）在硬件模拟器中运行恶意代码，在运行过程中提取恶意代码执行的指令信息；

2）在恶意代码运行过程中，在硬件模拟器的模拟内存中截获恶意代码执行的关键函数；

3）根据获取的恶意代码指令信息和关键函数信息，构建多级恶意代码行为图；

4）利用多级恶意代码行为图，根据分析需要，从任一节点开始，进行正向或逆向分析或者提取恶意代码行为。

2.如权利要求1所述的方法，其特征在于，步骤1）中提取指令信息的方法为：将硬件模拟器的翻译块修改为逐条指令翻译，添加的反汇编引擎进行逐条反汇编，然后记录恶意代码实际执行的指令信息。

3.如权利要求1所述的方法，其特征在于，步骤2）中截获关键函数的方法为：

2-1）静态分析Windows操作系统内核文件，获取系统服务描述符表中所关注的关键函数的地址偏移数据；

2-2）系统启动时，在硬件模拟器模拟的物理内存中恢复系统内核的关键数据结构，搜索系统服务描述附表的表头地址；

2-3）结合步骤2-1）的偏移地址和步骤2-2）的表头地址计算出所要截获的关键函数在模拟物理内存中的入口地址；

2-4）监控恶意代码执行的指令，当指令对相关内存地址进行操作的时候，将内存地址与关键函数的入口地址进行比较，当有指令对需要截获的关键函数的地址进行操作时，记录该函数以及函数的参数和返回值，完成截获操作。

4.如权利要求1所述的方法，其特征在于：步骤3）采用动态污点传播的方法构建指令级和函数级相结合的多级恶意代码行为图，其表示为TG={SN，N_ins，N_api，E_ins，E_api}，其中，SN表示污点源节点，N_ins表示指令节点，N_api表示函数节点，E_ins表示指令关联边，E_api表示函数关联边；图中的边均为有向边，其方向按照动态执行的先后顺序确定。

5.如权利要求4所述的方法，其特征在于：所述多级恶意代码行为图中，指令节点N_ins={T，OP}，T表示指令类型，OP表示操作数集合；函数节点E_api={N，P_in，P_out，Ret}，N表示函数名，P_in表示输入参数，P_out表示输出参数，Ret表示返回值。

6.如权利要求1所述的方法，其特征在于：步骤4）采用的正向分析算法为：

(1)从需要的指令或函数行为节点开始，将其作为分析子图的起始节点，生成分析子图；

(2)遍历和其有连接边的后继节点，将其加入分析子图中；

(3)继续递归遍历新节点的后继节点，直到遍历结束。

7.如权利要求1所述的方法，其特征在于：步骤4）采用的逆向分析算法为：

(1)将分析起始节点N作为起始节点生成分析子图；

(2)获取N的上级节点列表，直至遍历所有与其相连的上级节点，将这些节点加入N之后并生成关联边，即以图的形式表示；

(3)针对每一个新生成的节点，继续递归遍历其上级节点；

(4)当遍历到污点源节点时，结束递归遍历。

8.一种动态多级恶意代码行为分析系统，其特征在于，包括：

硬件模拟器，用于运行恶意代码；

指令信息提取模块，连接所述硬件模拟器，用于在运行过程中提取恶意代码执行的指令信息；

函数信息提取模块，连接所述硬件模拟器，用于在恶意代码运行过程中，在硬件模拟器的模拟内存中截获恶意代码执行的关键函数；

行为图构建模块，连接所述指令信息提取模块和所述函数信息提取模块，用于根据获取的恶意代码指令信息和关键函数信息构建多级恶意代码行为图；

行为分析模块，连接所述行为图构建模块，用于根据分析需要，从任一节点开始，利用多级恶意代码行为图，进行正向或逆向恶意代码行为分析。