[发明专利]一种样本检测方法及装置

说明书

本发明公开了一种样本检测方法及装置，涉及网络安全技术领域，通过遍历执行样本内所有条件分支语句，检测样本中是否存在恶意代码，达到对样本的全面检测。本发明的主要技术方案为：启动运行目标样本，所述目标样本中包含有逻辑判断条件对应的目标代码语句，所述目标代码语句中包含有多个条件分支语句；在运行所述目标样本的过程中，通过对运行所述目标代码语句的过程进行处理，以使所述目标代码语句内的所有条件分支语句被遍历执行；通过遍历执行所述目标代码语句内的所有条件分支语句，检测所述目标样本中是否存在恶意代码。本发明主要应用于通过运行PHP样本内所有代码语句完成检测操作。

技术领域

本发明涉及网络安全技术领域，尤其涉及一种样本检测方法及装置。

背景技术

目前，现有的样本检测方法是将样本运行起来，跟踪样本运行时的行为、动作，根据收集的运行结果信息，最后完成对样本是否有害做出判断。

但是由于样本中会使用逻辑判断条件，该逻辑判断条件实现了一种条件选择结构，例如ifelse语句，根据逻辑判断条件的选择结果，使得有些部分的代码语句不会被运行，如果攻击代码存在于这部分代码中，那么它是无法被检测到的，最终导致样本检测结果不够准确。

发明内容

有鉴于此，本发明提供一种样本检测方法及装置，主要目的在于通过遍历执行样本内所有条件分支语句，检测样本中是否存在恶意代码，达到对样本的全面检测，避免一些攻击代码被漏掉排查了，确保检测结果的准确性。

本申请第一方面提供了一种样本检测方法，该方法包括：

启动运行目标样本，所述目标样本中包含有逻辑判断条件对应的目标代码语句，所述目标代码语句中包含有多个条件分支语句；

在运行所述目标样本的过程中，通过对运行所述目标代码语句的过程进行处理，以使所述目标代码语句内的所有条件分支语句被遍历执行；

通过遍历执行所述目标代码语句内的所有条件分支语句，检测所述目标样本中是否存在恶意代码。

在本申请第一方面的一些变更实施方式中，所述逻辑判断条件通过判断表达式进行表征，所述通过对运行所述目标代码语句的过程进行处理，以使运行所述目标代码语句内的所有条件分支语句被遍历执行，包括：

获取所述目标代码语句内的判断表达式所对应的判断结果；

若所述判断表达式对应的判断结果会导致跳出所述目标代码语句的执行，且所述目标代码语句中存在尚未执行完毕的条件分支语句，则将所述判断结果赋值为相反结果，以继续执行所述目标代码语句中所述相反结果对应的条件分支语句，直至所述目标代码语句内的所有条件分支语句被遍历执行。

在本申请第一方面的一些变更实施方式中，所述方法还包括：

拦截跳出运行所述目标代码语句的操作；和/或，

在每一所述条件分支语句执行完毕后，判断是否存在尚未执行的条件分支语句；

若存在尚未执行的条件分支语句，则基于判断表达式所对应的判断结果判断是否能够直接执行下一条件分支语句，若是，则直接执行所述下一条件分支语句；否则，将所述判断结果赋值为相反结果后，再执行所述下一条件分支语句，直至不存在尚未执行的条件分支语句。

在本申请第一方面的一些变更实施方式中，在所述启动运行目标样本之后，所述方法还包括：

获取所述目标样本内包含的逻辑判断条件；

为所述逻辑判断条件配置对应的判断函数，所述判断函数用于监控根据所述逻辑判断条件得到的判断结果。

在本申请第一方面的一些变更实施方式中，所述获取所述目标代码语句内的判断表达式所对应的判断结果，包括：

从所述目标代码语句中确定判断表达式；