[发明专利]一种僵尸网络的跟踪方法及装置

权利要求书

1.一种僵尸网络的跟踪方法，其特征在于，预先对僵尸网络的恶意程序进行分析确定所述恶意程序的内存搜索特征，将所述恶意程序部署到虚拟机中，使所述虚拟机成为受控端，其中，所述内存搜索特征包括所述恶意程序的字符特征和执行特征，以及所述方法包括：

受控端对自身运行的任一程序，若确定该程序的执行代码符合所述字符特征，则在该程序对应的内存中搜索符合所述执行特征的目标代码，所述目标代码为预先确定的所述恶意程序在解密主控端发送的密文恶意指令后所运行的代码，且所述目标代码是基于所述恶意程序的攻击数据流的走向确定的；

若搜索到所述目标代码，则确定该程序为恶意程序，对搜索到的所述目标代码进行挂钩，钩取该程序在解密密文恶意指令后执行的明文恶意指令，解析所述明文恶意指令确定该程序在用户空间中执行的操作；

保存该程序在用户空间中的操作信息。

2.如权利要求1所述的方法，其特征在于，若该程序属于编译型语言，则所述目标代码为目标指令；若该程序属于解释型语言，则所述目标代码为中间码。

3.如权利要求2所述的方法，其特征在于，若所述目标代码为中间码，则对搜索到的所述目标代码进行挂钩，包括：

在所述中间码对应的内存地址上设置断点，利用所述断点对所述中间码进行挂钩。

4.如权利要求1所述的方法，其特征在于，在该程序对应的内存中搜索符合所述执行特征的目标代码之前，还包括：

确定该程序使用的不是安全套接层SSL协议。

5.如权利要求4所述的方法，其特征在于，若确定该程序使用的是SSL协议，则还包括：

对该程序调用的SSL协议库函数进行挂钩，执行所述钩取该程序在解密密文恶意指令后执行的明文恶意指令的步骤。

6.一种僵尸网络的跟踪装置，其特征在于，预先对僵尸网络的恶意程序进行分析确定所述恶意程序的内存搜索特征，将所述恶意程序部署到虚拟机中，使所述虚拟机成为受控端，其中，所述内存搜索特征包括所述恶意程序的字符特征和执行特征，以及所述装置包括：

搜索模块，用于对自身运行的任一程序，若确定该程序的执行代码符合所述字符特征，则在该程序对应的内存中搜索符合所述执行特征的目标代码，所述目标代码为预先确定的所述恶意程序在解密主控端发送的密文恶意指令后所运行的代码，且所述目标代码是基于所述恶意程序的攻击数据流的走向确定的；

确定模块，用于若搜索到所述目标代码，则确定该程序为恶意程序，对搜索到的所述目标代码进行挂钩，钩取该程序在解密密文恶意指令后执行的明文恶意指令，解析所述明文恶意指令确定该程序在用户空间中执行的操作；

保存模块，用于保存该程序在用户空间中的操作信息。

7.如权利要求6所述的装置，其特征在于，若该程序属于编译型语言，则所述目标代码为目标指令；若该程序属于解释型语言，则所述目标代码为中间码。

8.如权利要求7所述的装置，其特征在于，若所述目标代码为中间码，所述确定模块具体用于：

在所述中间码对应的内存地址上设置断点，利用所述断点对所述中间码进行挂钩。

9.如权利要求6所述的装置，其特征在于，所述确定模块还用于：

在该程序对应的内存中搜索符合所述执行特征的目标代码之前，确定该程序使用的不是安全套接层SSL协议。

10.如权利要求9所述的装置，其特征在于，若确定该程序使用的是SSL协议，则所述确定模块还用于：

对该程序调用的SSL协议库函数进行挂钩，执行所述钩取该程序在解密密文恶意指令后执行的明文恶意指令的步骤。