[发明专利]恶意代码辅助分析方法及装置

说明书

本发明涉及一种恶意代码辅助分析方法及装置，该恶意代码辅助分析方法包括：对相关脚本引擎进行逆向分析，并对分析出的命令执行处理函数进行HOOK；加载恶意脚本到脚本引擎；解密被混淆的恶意脚本；调用HOOK函数，对解密后的混淆代码进行拦截，并输出所述解密后的混淆代码；调用原始的命令执行函数执行。本发明利用HOOK技术能够实现恶意代码的快速去混淆，降低人工分析脚本型恶意代码的难度。

技术领域

本发明涉及网络安全技术领域，具体涉及一种恶意代码辅助分析方法及装置。

背景技术

恶意代码对计算机系统的安全构成了严重的威胁，需要及时分析、识别，但是新的恶意代码层出不穷，且许多恶意代码还在不停衍生出新的变种，对恶意代码分析带来了挑战。

现有的反混淆产品或者恶意代码辅助分析方法主要依赖于静态规则和固定的解密计算方法。依赖于静态规则的方法中，静态规则的提取需要依赖已知的混淆方法和方式，而混淆的方法和方式改变起来很容易，无法应对这些混淆方法的快速变化，并且静态规则的提取会受分析人员的分析经验等主观因素的影响，会导致规则的大量误报或者漏报问题。固定的解密计算方法中，脚本恶意代码作为APT组织的常用攻击方式，版本更新迭代速度会非常之高，解密计算方法需要人工分析后再进行编写，非常耗费分析人员的时间成本，并且其时效性也非常之低。

发明内容

鉴于现有技术存在的上述问题，本发明的目的在于提供一种恶意代码辅助分析方法及装置，其能够实现恶意代码的快速去混淆功能，降低人工分析脚本型恶意代码的难度。

为了实现上述目的，本发明实施例提供一种恶意代码辅助分析方法，包括：

对相关脚本引擎进行逆向分析，并对分析出的命令执行处理函数进行HOOK；

加载恶意脚本到脚本引擎；

解密被混淆的恶意脚本；

调用HOOK函数，对解密后的混淆代码进行拦截，并输出所述解密后的混淆代码；

调用原始的命令执行函数执行。

在一些实施例中，对相关脚本引擎进行逆向分析，并对分析出的命令执行处理函数进行HOOK，包括：

对相关脚本引擎进行逆向分析，分析出命令执行处理函数；

编写DLL程序并将所述命令执行处理函数进行HOOK。

在一些实施例中，在脚本引擎装载恶意代码之前，还包括：将编写的DLL程序注入到脚本引擎进程中。

在一些实施例中，输出所述解密后的混淆代码，包括：将所述解密后的混淆代码打印或者保存到本地输出。

在一些实施例中，调用HOOK函数，对解密后的混淆代码进行拦截，并输出所述解密后的混淆代码之后，还包括：

根据读取的解密后的混淆代码输出解密完成的脚本；

对所述解密完成的脚本进行特征匹配，识别病毒家族。

在一些实施例中，利用本地规则或沙箱对所述解密完成后的脚本进行特征匹配，识别所述解密完成后的脚本的病毒家族。

在一些实施例中，所述恶意脚本的混淆方法包括：重命名混淆、脚本块、字符串处理、编码、自构造关键字替换或虚拟代码插入。

本发明实施例还提供一种恶意代码辅助分析装置，包括：

分析模块，其配置为对相关脚本引擎进行逆向分析，并对分析出的命令执行处理函数进行HOOK；

加载模块，其配置为加载恶意脚本到脚本引擎；

解密模块，其配置为解密被混淆的恶意脚本；