[发明专利]恶意代码辅助分析方法及装置

权利要求书

1.一种恶意代码辅助分析方法，其特征在于，包括：

对相关脚本引擎进行逆向分析，并对分析出的命令执行处理函数进行HOOK；

加载恶意脚本到脚本引擎；

解密被混淆的恶意脚本；

调用HOOK函数，对解密后的混淆代码进行拦截，并输出所述解密后的混淆代码；

调用原始的命令执行函数执行；

其中，对相关脚本引擎进行逆向分析，并对分析出的命令执行处理函数进行HOOK，包括：

对相关脚本引擎进行逆向分析，分析出命令执行处理函数；

编写DLL程序并将所述命令执行处理函数进行HOOK，其中，所述命令执行处理函数和对应的Hook函数封装于同一DLL中；

其中，在解密被混淆的恶意脚本之后、调用HOOK函数之前，所述方法还包括：调用命令执行函数执行。

2.根据权利要求1所述的恶意代码辅助分析方法，其特征在于，在脚本引擎装载恶意代码之前，还包括：将编写的DLL程序注入到脚本引擎进程中。

3.根据权利要求1所述的恶意代码辅助分析方法，其特征在于，输出所述解密后的混淆代码，包括：将所述解密后的混淆代码打印或者保存到本地输出。

4.根据权利要求1所述的恶意代码辅助分析方法，其特征在于，调用HOOK函数，对解密后的混淆代码进行拦截，并输出所述解密后的混淆代码之后，还包括：

根据读取的解密后的混淆代码输出解密完成后的脚本；

对所述解密完成后的脚本进行特征匹配，识别病毒家族。

5.根据权利要求4所述的恶意代码辅助分析方法，其特征在于，利用本地规则或沙箱对所述解密完成后的脚本进行特征匹配，识别所述解密完成后的脚本的病毒家族。

6.根据权利要求1所述的恶意代码辅助分析方法，其特征在于，所述恶意脚本的混淆方法包括：重命名混淆、脚本块、字符串处理、编码、自构造关键字替换或虚拟代码插入中的一种或多种。

7.一种恶意代码辅助分析装置，其特征在于，包括：

分析模块，其配置为对相关脚本引擎进行逆向分析，并对分析出的命令执行处理函数进行HOOK；

加载模块，其配置为加载恶意脚本到脚本引擎；

解密模块，其配置为解密被混淆的恶意脚本；

HOOK模块，其配置为调用HOOK函数，对解密后的混淆代码进行拦截，并输出所述解密后的混淆代码；

执行模块，其配置为调用原始的命令执行函数执行；其中，所述分析模块包括：

逆向分析单元，其配置为对相关脚本引擎进行逆向分析，分析出命令执行处理函数；

HOOK处理单元，其配置为编写DLL程序并将所述命令执行处理函数进行HOOK，其中，所述命令执行处理函数和对应的Hook函数封装于同一DLL中；

其中，在解密被混淆的恶意脚本之后、调用HOOK函数之前，所述执行模块还配置为调用命令执行函数执行。

8.一种终端设备，其特征在于，包括存储器和处理器，所述存储器用于存储可执行程序代码；所述处理器通过读取所述存储器中存储的可执行程序代码来运行与所述可执行程序代码对应的程序，以用于执行根据权利要求1至6中任一项所述的恶意代码辅助分析方法。