[发明专利]恶意代码壳识别与静态脱壳方法和系统

说明书

本发明提供了一种恶意代码壳识别与静态脱壳方法和系统，对待检测文件进行反汇编处理，将得到的反汇编指令信息作为特征；将特征信息按取值进行灰度化处理，生成灰度图像；利用灰度图像与标签值组成的样本集，对深度学习模型LeNet‑5进行训练，得到成熟的识别模型；接收待判定的恶意代码壳代码作为输入，完成壳代码识别；并对识别出的加壳代码，进行脱壳处理。通过壳代码可视化算法，将加壳代码识别任务转化为图像分类任务，结合深度学习判定模型，实现了一个可用的恶意代码壳代码识别方法，并对相应加壳代码实现了静态脱壳方法，实现比现有系统更高判定准确率的恶意壳代码识别方法和更有效率的脱壳方法。

技术领域

本发明涉及互联网信息安全技术领域，具体地，涉及一种恶意代码壳识别与静态脱壳方法和系统。

背景技术

当今社会，计算机网络与人类生活的各方面息息相关。计算机技术的飞速发展在带来便利的同时，也带来了诸多的安全隐患。随着计算机技术的发展，出现了一类软件代码，他们被附加在可执行程序中，将程序中的原始代码进行保护，同时将可执行程序的执行顺序进行修改。攻击者们正是利用这一点，将恶意代码进行加壳操作，利用壳代码来逃避诸多的检测分析，从而躲避安全软件的扫描与查杀。

面对这一严峻的挑战，如何准确地识别出加壳代码种类，如何完整的还原出原始程序的数据和代码，成为了影响恶意代码分析检测的主要问题所在，针对爆发式增长的恶意代码，安全研究人员对恶意代码分析技术做出深入研究。结果发现，很多新型的恶意代码壳代码都是来自于已有的壳代码的变种，这些代码往往具有高度相似的结构、雷同的函数调用顺序与代码编写习惯等。对未知恶意代码壳代码进行识别并找出与其具有相似特征的、已记录在库的同源恶意代码壳代码，从而做出快速响应与处理就显得十分重要。针对识别出的加壳算法，本发明也设计了一种能够快速对其进行脱壳处理的方法。

恶意代码壳代码的识别已有学者进行一定研究，但采用特征码匹配的算法无法识别新型壳代码的变种，极大影响了其的适用性。而对壳代码进行可视化的思想最早是由加利福尼亚大学的Nataraj和Karthikeyan在2011年提出的。而近年来，伴随着深度神经网络的迅猛发展，LeNet网络在图像分类领域展现出卓越性能，为壳代码图像的识别提供了合适的模型选择。目前没有发现同本发明类似技术的说明或报道，也尚未收集到国内外类似的资料。

与本申请相关的现有技术是专利文献CN104850786A，公开了一种基于环境重构的恶意代码完整性分析方法，通过使用合理的分析策略提取恶意代码执行过程中所需的环境数据，以此为基础进行恶意代码执行环境的动态构建，将恶意代码置入动态构建的环境中进行分析，从而获得较为完整的行为信息。

发明内容

针对现有技术中的缺陷，本发明的目的是提供一种恶意代码壳识别和静态脱壳方法和系统。

根据本发明提供的一种恶意代码壳识别和静态脱壳方法，包括：

壳代码预处理步骤：对待判定恶意代码进行反汇编，提取反汇编中的特征信息；

可代码可视化步骤：接收特征信息，利用特征信息对待判定恶意代码进行可视化，生成壳代码图像；

深度学习步骤：将壳代码图像与待判定恶意代码的标签值组成样本集，对深度学习模型进行训练，得到成熟识别模型，将待判定恶意代码作为成熟识别模型的输入，进行壳代码识别，得到加壳代码；

脱壳步骤：将加壳代码进行脱壳处理。

优选地，所述脱壳处理是对加壳代码进行文件校验、加壳算法校验、PE文件加载、数据解压、导入函数表IAT修复、创建PE文件镜像。

优选地，使用IDA工具对待判定恶意代码进行反汇编，得到附加信息、反汇编指令信息，令附加信息去除，将反汇编指令信息作为特征信息。

优选地，所述对待判定恶意代码进行可视化是对特征信息按字节分割，映射为像素点的灰度值数组，并对所述灰度值数组进行可视化。